问题描述

关于已发现的Log4jJNDI远程代码执行漏洞CVE-2021-44228-(另请参阅参考资料)-我想知道Log4j-v1.2是否也受到影响，但我从源代码审查中得到的最接近的是JMS-Appender。

问题是，虽然互联网上的帖子指出Log4j 1.2也有漏洞，但我找不到它的相关源代码。

我是否遗漏了其他人已确定的内容？

Log4j 1.2似乎在socket-server类中存在漏洞，但我的理解是，首先需要启用它才能应用，因此与识别的JNDI查找漏洞不同，它不是被动威胁。

参考资料

• Apache Log4j Security Vulnerabilities

• Zero-day in ubiquitous Log4j tool poses a grave threat to the Internet

• Worst Apache Log4j RCE Zero day Dropped on Internet

• ‘Log4Shell’ vulnerability poses critical threat to applications using ‘ubiquitous’ Java logging package Apache Log4j

这blog post from Cloudflare也表明了与AKX中的相同之处，即它是从Log4j 2引入的！

更新#1-apache-log4j-1.2.x的一个分支(现已停用)包含对旧库中发现的几个漏洞的修补程序，现在(来自原始log4j作者)可用。该网站为https://reload4j.qos.ch/。截至2022年1月21日，版本1.2.18.2已发布。目前已解决的漏洞包括与JMSAppender、SocketServer和Chainsaw漏洞有关的漏洞。请注意，我只是在传递此信息。还没有从我这一端验证修复。有关其他详细信息，请参阅该链接。

推荐答案

JNDI功能was added into Log4j 2.0-beta9。

因此，Log4j 1.x没有易受攻击的代码。

这篇关于Log4j漏洞-Log4j 1.2.17是否易受攻击(在源代码中找不到任何JNDI代码)？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持！