如何测试您的Linux主机能否容易遭到Log4j的攻打

Log4j破绽是很重大的疑问。这个零日破绽影响Log4j库，让攻打者可以在依赖Log4j写入日志信息的系统上口头恣意代码。

该破绽领有最高的CVSS评分：10.0，因此您须要分内当心。最大的疑问之一是知道您能否容易遭到攻打。Log4j可以经过多种模式加以部署，因此状况变得更为复杂。您将它用作Java名目的一局部、将它并入到容器中，将它连同发行版软件包治理器一同装置，假设是这样，您装置了哪些log4j软件包?还是说您是从源代码来装置它的?正由于状况很复杂，您甚至或者不知道自己的主机能否容易遭到攻打。

幸亏，GitHub用户Rubo77针对Linux主机创立了一个 脚本 ，可用于审核含有容易遭到攻打的Log4j实例的软件包。它处于测试版阶段，并非百分之百牢靠，不过经常使用它是很好的终点。要明确，该脚本并不测试与运行程序一同打包的jar文件，因此它只是您开局剖析破绽的一个终点而已。

我在一台我知道装置了容易遭到攻打的Log4j软件包的主机上测试了这个脚本，它正确地标志出该主机易受攻打。上方引见如何在您的Linux主机上运转这同一个脚本，以查明自己能否容易遭到攻打。登录到您的主机并口头命令：

假设您的主机容易遭到攻打，该命令的输入会提供一些线索。如您所见(图A)，我的实例含有liblog4j2-java版本2.11.2-1，该版本存在这个破绽。在这种状况下，我应立刻更新到2.15.0。假设不可装置更新版，疑问会不时存在，直至给软件包打上补丁。

图A. 我的测试主机容易遭到Log4j疑问的影响

请记住，该脚本并非十拿九稳，而是一个很好的终点。即使您的主机不易遭到攻打，也要确保您已更新了每个必要的软件包，以防止遭到该破绽的影响。