Log4j漏洞-Log4j 1.2.17是否易受攻击(在源代码中找不到任何JNDI代码)?

2022-02-25 00:00:00 security exploit java log4j log4j2

关于已发现的Log4jJNDI远程代码执行漏洞CVE-2021-44228-(另请参阅参考资料)-我想知道Log4j-v1.2是否也受到影响,但我从源代码审查中得到的最接近的是JMS-Appender。

问题是,虽然互联网上的帖子指出Log4j 1.2也有漏洞,但我找不到它的相关源代码。

我是否遗漏了其他人已确定的内容?

Log4j 1.2似乎在socket-server类中存在漏洞,但我的理解是,首先需要启用它才能应用,因此与识别的JNDI查找漏洞不同,它不是被动威胁。

我的理解-Log4j v1.2-不容易受到jndi远程代码执行错误的影响是否正确?

参考资料

  • Apache Log4j Security Vulnerabilities

  • Zero-day in ubiquitous Log4j tool poses a grave threat to the Internet

  • Worst Apache Log4j RCE Zero day Dropped on Internet

  • ‘Log4Shell’ vulnerability poses critical threat to applications using ‘ubiquitous’ Java logging package Apache Log4j

这blog post from Cloudflare也表明了与AKX中的相同之处,即它是从Log4j 2引入的!

更新#1-apache-log4j-1.2.x的一个分支(现已停用)包含对旧库中发现的几个漏洞的修补程序,现在(来自原始log4j作者)可用。该网站为https://reload4j.qos.ch/。截至2022年1月21日,版本1.2.18.2已发布。目前已解决的漏洞包括与JMSAppender、SocketServer和Chainsaw漏洞有关的漏洞。请注意,我只是在传递此信息。还没有从我这一端验证修复。有关其他详细信息,请参阅该链接。


解决方案

JNDI功能was added into Log4j 2.0-beta9。

因此,Log4j 1.x没有易受攻击的代码。

相关文章