Log4Shell允许远程代码执行。这能用于远程修补漏洞吗？

Question

当前的log4shell问题(著名的CVE-2021-44228)为攻击者提供了一个在易受攻击的、面向互联网的计算机上执行不可信代码的载体。

是否可以通过在修补易受攻击库的目标计算机上放置代码来修补漏洞？

编辑：澄清了这个问题，这只是针对技术问题，即是否可以通过这个shell访问向量远程运行代码。

Answer 1

似乎至少有一个概念级项目试图就地修补漏洞，因此在技术上是可行的：https://github.com/Cybereason/Logout4Shell。

作者们在博客帖子中将他们的方法毁于一旦，似乎开发修复组合(他们称之为“疫苗”)也是他们公司的广告。在评估的时候要记住这一点。

Answer 2

从法律上讲，这是一个明确的不。

由于您仍在未得到所有者授权的情况下在系统上执行代码，所以不能拥有代码。虽然这样做是为了防止坏黑客攻击系统，但这种解决问题的方式仍然是非法的。

严格来说是的。

正如您正确理解的，您可以完全控制系统执行任意代码，包括安装“修复”。

实际上，这取决于您希望如何实现修复，以及如果您找到一个通用的解决方案来“修复”使用相同方法的不同配置的系统。

更新库将需要标识易受攻击文件log4j-core.jar的位置，并将其替换为固定版本，但还需要使用库重新启动服务，因为易受攻击的版本可能已经加载到内存中。磁盘上文件的更改不会反映在正在运行的程序中。

文件的位置和正在运行的服务将因系统而异，因此更难实现通用解决方案。

攻击已经持续了5天，这是一个公开报告的漏洞，很容易利用。如果您还没有修补它，您可能已经被利用了。攻击者可能已经安装了另一个恶意软件，该软件能够在将来通过远程控制加载任何执行任何新代码，并且不再需要log4j攻击。

如果尚未修复log4j漏洞，则仅更新log4j是不够的。你必须假设你的系统已经被睡眠木马破坏了，你应该重置整个系统来摆脱它。

我的建议是不要这样做。试着联系系统的所有者，告诉他们更新和重置完整的系统。