如何减轻Log4Shell版本1.2中的Log4j漏洞？

Question

我有一个非常老的版本的索尔，我一直试图看看它是否受到了Log4Shell漏洞的影响，每个人都很害怕(CVE-2021-44228)。

CVE似乎只适用于较晚的版本，但同事并不购买，所以我试图找出真相。

Answer 1

我大约95%肯定这对较早版本的Log4j来说是可以的。原因有三：

1. 我在1.2版上。我在我的系统中找到了Log4j JAR文件，解压缩它，并查找任何提到JNDI的内容： 查找/ -iname '*log4j*‘unzip /etc/opt/jetty/lib/ext/log4j-1.2.17.jar \ grep -i jndi 什么都没带回来所以我感觉很好。CVE说你通常会通过查看JAR文件找到一些东西。它意味着你需要： zip -q -d log4j-core-*..jar 那不会对我有任何帮助。
2. 我在Log4j的变更量上挖了个洞。它写的是2.0版本-beta9 9： 添加JNDILookup插件。修正LOG4J2-313。多亏了吴山高。

因此，我认为可以肯定地说，在此之前，Log4j中不存在JNDI。加在这里的Jira票。

1. 我检查了1.2版旧手册并将其与最新版本进行了比较。在最新版本中，有一个“查找”部分解释了JNDI的工作方式。在1.2版中，这一节根本不存在。

我觉得.没事吧？

Answer 2

拉尔夫观众(Apache Log4J维护者)说：

此漏洞有两个方面。

1. 正在对正在记录的消息文本执行Log4j 2的查找机制(属性解析器)。这意味着，如果应用程序正在记录用户输入(几乎每个人都这样做)，用户可能会导致调用查找机制。
2. Log4j 2在不同的地方都支持JNDI，包括查找。JNDI本身非常不安全。这些因素的综合作用使得它成为Log4j 2. Log4j 1和Logback的一个严重问题，它们都有使用JNDI的组件，也没有做任何事情来限制JNDI漏洞。在Log4j 1的情况下，它是JMS。曝光较小，但仍在那里。如果有人能够访问日志配置，他们可能会导致糟糕的事情发生。

因此，结论是，Log4J 1.x是安全的，不受Log4Shell的影响，除非您使用JMS。在这种情况下，您必须分析您在附录中所做的事情。