Hoe haal je zelf Log4j-kwetsbaarheden uit Java-projecten?

Log4j

De ontdekking van een zero day-kwetsbaarheid in Apache Log4j, maakte in één klap bekend dat heel wat Java-projecten kwetsbaar zijn. Ben je benieuwd hoe het met jouw project gesteld is? Dan kan dit handige script helpen.

Begin december ontdekten beveiligingsonderzoekers van LunaSec een ernstige zero day-kwetsbaarheid in Apache Log4j. Na de eerste ontdekking lijkt het hek van de dam. Ondertussen zijn al vier kwetsbaarheden ontdekt en bracht de Apache Software Foundation al de vijfde beveiligingsupdate uit.  

lees ook

Wat is Log4Shell en waarom is de bug zo gevaarlijk?

Het is belangrijk om de beveiligingsupdates te installeren aangezien aanvallers de kwetsbaarheid kunnen misbruiken om malafide code uit te voeren op een systeem. Op Log4j steunen namelijk een hoop zaken in Java. Het zit er diep in geworteld en dat bemoeilijkt de zaak als je wilt weten of jouw Java-project kwetsbaarheden bevat.

Log4j Detect vereenvoudigt het zoekwerk. Met het script kom je te weten of je Java-project nog vrij is van kwetsbaarheden. Op welke manier je het script inzet, werd eerder gedemonstreerd door TechRepublic. Windows-, macOS- en Linuxgebruikers kunnen het script draaien.  

  • Voorbereiding

    Voor je het script kan loslaten op je project, moet het natuurlijk op je computer geïnstalleerd worden. Log hiervoor in op je Linuxserver. Dan maak je een aanpassing in je systeemarchitectuur met ARCH=amd64 of ARCH=arm64 als je een ARM-structuur hebt.

  • Script installeren

    Download dan het script met het volgende verzoek: wget “https://github.com/whitesource/log4j-detect-distribution/releases/latest/download/log4j-detect-1.3.0-darwin-$ARCH.tar.gz” en open het met tar -xzvf log4j-detect-1.3.0-darwin-$ARCH.tar.gz

    Om het script te kunnen draaien, geef je het nog de nodige permissies: chmod +x log4j-detect en verplaats je het met sudo mv log4j-detect /usr/local/bin/

  • Script draaien

    Na de voorgaande stappen is het script al correct geïnstalleerd. Dat betekent dat het nu echt tijd is voor het moment van de waarheid: is je Java-project vrij van Log4j-kwetsbaarheden?

    Ga hiervoor simpelweg naar de map waarin het project is ondergebracht dat je wil nagaan. Geef daar het volgende commando: log4j-detect scan

De test duurt niet lang en duidt perfect aan waar de problemen zich bevinden. Bovendien geeft het programma aanbevelingen om de kwetsbaarheden op te lossen.

nieuwsbrief

Abonneer je gratis op ITdaily !
  • This field is for validation purposes and should be left unchanged.
terug naar home