Khắc phục lỗi bảo mật Log4j: Cách sửa nếu bạn không thể nâng cấp lên phiên bản 2.15.0

Tiếng Việt

Lỗ hổng bảo mật Log4j là một lỗ hổng nghiêm trọng trong thư viện Log4j của Apache, được sử dụng bởi hàng triệu ứng dụng Java. Lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa trên hệ thống bị ảnh hưởng, có thể dẫn đến nhiều hậu quả nghiêm trọng, chẳng hạn như mất dữ liệu, chiếm quyền kiểm soát hệ thống và lây nhiễm phần mềm độc hại.

Apache đã phát hành bản vá cho lỗ hổng này trong phiên bản Log4j 2.15.0. Tuy nhiên, trong một số trường hợp, việc nâng cấp lên phiên bản này có thể không khả thi. Ví dụ: ứng dụng của bạn có thể phụ thuộc vào các thư viện hoặc phần mềm khác không tương thích với phiên bản Log4j mới nhất.

Nếu bạn không thể nâng cấp lên phiên bản Log4j 2.15.0, bạn có thể sử dụng một trong các phương pháp sau để giảm thiểu rủi ro của lỗ hổng:

Vô hiệu hóa tính năng JNDILookup

Tính năng JNDILookup cho phép Log4j giải quyết các tham chiếu JNDI từ các thông báo lỗi. Đây là tính năng bị khai thác bởi lỗ hổng Log4j. Để vô hiệu hóa tính năng này, bạn có thể thêm dòng sau vào tệp cấu hình của Log4j:

log4j2.disableJndiLookup=true

Sử dụng bộ lọc để chặn các tham chiếu JNDI

Bạn có thể sử dụng bộ lọc để chặn các tham chiếu JNDI trong các thông báo lỗi. Để làm điều này, bạn có thể thêm bộ lọc sau vào tệp cấu hình của Log4j:

filter.denyJndiLookup=deny

filter.denyJndiLookup.activation=onMatch

filter.denyJndiLookup.message=”JNDI lookups are not allowed”

Sử dụng một biện pháp bảo vệ bổ sung

Bạn có thể sử dụng một biện pháp bảo vệ bổ sung để ngăn chặn kẻ tấn công khai thác lỗ hổng Log4j. Ví dụ, bạn có thể sử dụng một tường lửa ứng dụng web (WAF) để chặn các cuộc tấn công dựa trên lỗ hổng này.

Tiếng Anh

Log4j security vulnerability is a critical vulnerability in Apache’s Log4j library, used by millions of Java applications. This vulnerability allows attackers to execute arbitrary code on the affected system, which could lead to serious consequences, such as data loss, system takeover, and malware infection.

Apache has released a patch for this vulnerability in Log4j version 2.15.0. However, in some cases, upgrading to this version may not be feasible. For example, your application may depend on other libraries or software that are not compatible with the latest version of Log4j.

If you cannot upgrade to Log4j version 2.15.0, you can use one of the following methods to mitigate the risk of the vulnerability:

Disable the JNDILookup feature

The JNDILookup feature allows Log4j to resolve JNDI references from log messages. This is the feature exploited by the Log4j vulnerability. To disable this feature, you can add the following line to your Log4j configuration file:

log4j2.disableJndiLookup=true

Use a filter to block JNDI references

You can use a filter to block JNDI references in log messages. To do this, you can add the following filter to your Log4j configuration file:

filter.denyJndiLookup=deny

filter.denyJndiLookup.activation=onMatch

filter.denyJndiLookup.message=”JNDI lookups are not allowed”

Use an additional mitigation

You can use an additional mitigation to prevent attackers from exploiting the Log4j vulnerability. For example, you can use an application web firewall (WAF) to block attacks based on this vulnerability.

Lưu ý

Các phương pháp này chỉ là giải pháp tạm thời để giảm thiểu rủi ro của lỗ hổng Log4j. Bạn nên nâng cấp lên phiên bản Log4j 2.15.0 càng sớm càng tốt để được bảo vệ đầy đủ.