電子發(fā)燒友網(wǎng)>電子資料下載>電子資料>Log4-detector Log4J漏洞版本掃描器

Log4-detector Log4J漏洞版本掃描器

1320780 2022-05-06 | zip | 0.44 MB | 次下載 | 免費(fèi)

普通下載普通下載

資料介紹

授權(quán)協(xié)議 GPL 3.0

開發(fā)語言 Java

操作系統(tǒng) 跨平臺(tái)

軟件類型開源軟件

所屬分類管理和監(jiān)控、漏洞檢測掃描和評(píng)估

軟件簡介

Log4-detector 是一個(gè)可以在任何應(yīng)用程序中的文件系統(tǒng)上檢測易受攻擊的 Log4J 版本（CVE-2021-44228、CVE-2021-45046 等）的掃描程序。

甚至能夠找到隱藏在幾層深處的 Log4J 實(shí)例。適用于 Linux、Windows 和 Mac，也適用于 Java 運(yùn)行的其他任何地方。

用法

java -jar log4j-detector-2021.12.22.jar 

Usage: java -jar log4j-detector-2021.12.22.jar [--verbose] [--json] [--stdin] [--exclude=X] [paths to scan...]

  --json       - Output STDOUT results in JSON.  (Errors/warning still emitted to STDERR)
  --stdin      - Read STDIN for paths to explore (one path per line)
  --exclude=X  - Where X is a JSON list containing full paths to exclude. Must be valid JSON.

                 Example: 

Exit codes:  0 = No vulnerable Log4J versions found.
             1 = At least one legacy Log4J 1.x version found.
             2 = At least one vulnerable Log4J version found.

About - MergeBase log4j detector (version 2021.12.22)
Docs  - https://github.com/mergebase/log4j-detector 
(C) Copyright 2021 Mergebase Software Inc. Licensed to you via GPLv3.

示例

java -jar log4j-detector-2021.12.22.jar [path-to-scan] > hits.txt

更多示例

java -jar log4j-detector-2021.12.22.jar ./samples 

-- github.com/mergebase/log4j-detector v2021.12.22 (by mergebase.com) analyzing paths (could take a while).
-- Note: specify the '--verbose' flag to have every file examined printed to STDERR.
/opt/mergebase/log4j-detector/samples/clt-1.0-SNAPSHOT.jar contains Log4J-2.x   >= 2.10.0 _VULNERABLE_
/opt/mergebase/log4j-detector/samples/infinispan-embedded-query-8.2.12.Final.jar contains Log4J-2.x   >= 2.0-beta9 (< 2.10.0) _VULNERABLE_
/opt/mergebase/log4j-detector/samples/log4j-1.1.3.jar contains Log4J-1.x   <= 1.2.17 _OLD_
/opt/mergebase/log4j-detector/samples/log4j-1.2.13.jar contains Log4J-1.x   <= 1.2.17 _OLD_
/opt/mergebase/log4j-detector/samples/log4j-1.2.17.jar contains Log4J-1.x   <= 1.2.17 _OLD_
/opt/mergebase/log4j-detector/samples/log4j-core-2.0-beta2.jar contains Log4J-2.x   <= 2.0-beta8 _POTENTIALLY_SAFE_ (or did you already remove JndiLookup.class?) 
/opt/mergebase/log4j-detector/samples/log4j-core-2.0-beta9.jar contains Log4J-2.x   >= 2.0-beta9 (< 2.10.0) _VULNERABLE_
/opt/mergebase/log4j-detector/samples/log4j-core-2.0.2.jar contains Log4J-2.x   >= 2.0-beta9 (< 2.10.0) _VULNERABLE_
/opt/mergebase/log4j-detector/samples/log4j-core-2.0.jar contains Log4J-2.x   >= 2.0-beta9 (< 2.10.0) _VULNERABLE_
/opt/mergebase/log4j-detector/samples/log4j-core-2.10.0.jar contains Log4J-2.x   >= 2.10.0 _VULNERABLE_
/opt/mergebase/log4j-detector/samples/log4j-core-2.12.1.jar contains Log4J-2.x   >= 2.10.0 _VULNERABLE_
/opt/mergebase/log4j-detector/samples/log4j-core-2.12.2.jar contains Log4J-2.x   == 2.12.2 _OKAY_
/opt/mergebase/log4j-detector/samples/log4j-core-2.12.3.jar contains Log4J-2.x   >= 2.12.3 _SAFE_
/opt/mergebase/log4j-detector/samples/log4j-core-2.14.1.jar contains Log4J-2.x   >= 2.10.0 _VULNERABLE_
/opt/mergebase/log4j-detector/samples/log4j-core-2.15.0.jar contains Log4J-2.x   == 2.15.0 _OKAY_
/opt/mergebase/log4j-detector/samples/log4j-core-2.16.0.jar contains Log4J-2.x   == 2.16.0 _OKAY_
/opt/mergebase/log4j-detector/samples/log4j-core-2.17.0.jar contains Log4J-2.x   >= 2.17.0 _SAFE_
/opt/mergebase/log4j-detector/samples/log4j-core-2.3.1.jar contains Log4J-2.x   == 2.3.1 _SAFE_
/opt/mergebase/log4j-detector/samples/log4j-core-2.4.1.jar contains Log4J-2.x   >= 2.0-beta9 (< 2.10.0) _VULNERABLE_
/opt/mergebase/log4j-detector/samples/log4j-core-2.9.1.jar contains Log4J-2.x   >= 2.0-beta9 (< 2.10.0) _VULNERABLE_

掃描結(jié)果

Log4-detector 會(huì)將 log4j-core 版本 2.3.1、2.12.3 和 2.17.0 報(bào)告為 _SAFE_ ，將2.12.2、2.15.0和 2.16.0 報(bào)告為_OKAY_，將所有其他版本報(bào)告為 _VULNERABLE_，將舊的log4j-1.x版本報(bào)告為 _OLD_。

可以正確檢測可執(zhí)行 spring-boot jars/wars 中的 log4j、混合到 uber jars 中的依賴項(xiàng)、shaded jars，甚至是未壓縮的jar 文件(又名*.class)。

_VULNERABLE_?-> 需要升級(jí)或刪除此文件。
_OKAY_?-> 僅針對(duì) Log4J 版本 2.12.2、2.15.0 和 2.16.0 報(bào)告此問題，建議升級(jí)到 2.17.0。
_SAFE_?-> 目前僅針對(duì) Log4J 版本 2.3.1、2.12.3 和 2.17.0（及更高版本）報(bào)告此問題。
_OLD_?-> 可以免受 CVE-2021-44228 的影響，但應(yīng)該計(jì)劃升級(jí)，因?yàn)?Log4J 1.2.x 已經(jīng)停產(chǎn) 7 年并且有幾個(gè)已知的漏洞。
_POTENTIALLY_SAFE_?-> “JndiLookup.class”文件不存在，要么是因?yàn)槟?Log4J 版本很舊（2.0-beta9 之前），要么因?yàn)橛腥艘呀?jīng)刪除了這個(gè)文件。如果是這種情況，請(qǐng)確保是團(tuán)隊(duì)或公司的成員刪除“JndiLookup.class”，因?yàn)楣粽邥?huì)自己刪除此文件，以防止其他競爭攻擊者獲得對(duì)受感染系統(tǒng)的訪問權(quán)限。