Log4j漏洞-Log4j 1.2.17是否易受攻击(在源代码中找不到任何JNDI代码)?
关于已发现的Log4jJNDI远程代码执行漏洞CVE-2021-44228-(另请参阅参考资料)-我想知道Log4j-v1.2是否也受到影响,但我从源代码审查中得到的最接近的是JMS-Appender。
问题是,虽然互联网上的帖子指出Log4j 1.2也有漏洞,但我找不到它的相关源代码。
我是否遗漏了其他人已确定的内容?
Log4j 1.2似乎在socket-server类中存在漏洞,但我的理解是,首先需要启用它才能应用,因此与识别的JNDI查找漏洞不同,它不是被动威胁。
我的理解-Log4j v1.2-不容易受到jndi远程代码执行错误的影响是否正确?参考资料
Apache Log4j Security Vulnerabilities
Zero-day in ubiquitous Log4j tool poses a grave threat to the Internet
Worst Apache Log4j RCE Zero day Dropped on Internet
‘Log4Shell’ vulnerability poses critical threat to applications using ‘ubiquitous’ Java logging package Apache Log4j
这blog post from Cloudflare也表明了与AKX中的相同之处,即它是从Log4j 2引入的!
更新#1-apache-log4j-1.2.x的一个分支(现已停用)包含对旧库中发现的几个漏洞的修补程序,现在(来自原始log4j作者)可用。该网站为https://reload4j.qos.ch/。截至2022年1月21日,版本1.2.18.2已发布。目前已解决的漏洞包括与JMSAppender、SocketServer和Chainsaw漏洞有关的漏洞。请注意,我只是在传递此信息。还没有从我这一端验证修复。有关其他详细信息,请参阅该链接。
解决方案
JNDI功能was added into Log4j 2.0-beta9。
因此,Log4j 1.x没有易受攻击的代码。
相关文章