关于已经被发现的CVE-2021-44228 Log4j JNDI 远程代码执行漏洞 - 也参考引用资料 - 我想知道Log4j-v1.2 是否也受到影响,但是通过源代码审查,我最接近的是JMS-Appender。
问题是,尽管互联网上的帖子表明Log4j 1.2也存在漏洞,但我找不到相关的源代码。
我是否错过了其他人已经确定的东西?
Log4j 1.2似乎在socket-server类中存在漏洞,但我的理解是,首先需要启用它才能适用,因此不像已经被识别的JNDI-lookup漏洞那样是一种被动威胁。
我的理解 - Log4j v1.2 - 不受jndi-remote-code执行漏洞的影响 - 正确吗?
参考资料
这篇来自Cloudflare的博客文章也指出了与AKX相同的观点……它是从Log4j 2引入的!
更新#1 - (现已停用的)apache-log4j-1.2.x的一个分支,其中包含旧库中识别出的少数漏洞的补丁修复,现在可用(由原始的log4j作者提供)。该站点为https://reload4j.qos.ch/。截至2022年1月21日,已发布版本1.2.18.2。迄今为止解决的漏洞包括涉及JMSAppender、SocketServer和Chainsaw漏洞。请注意我只是转达这些信息。我没有验证我的端的修复情况。请参考链接获取更多详细信息。