CVE-2021-44228和log4j 1.2.17

Question

我在log4j 1.2.17上，我们使用(Apache-log4j-附加以及相同的版本)。

如果CVE-2021-44228影响到这个版本，你能告诉我吗？

谢谢

Answer 1

特定脆弱性不在那里。请参阅http://slf4j.org/log4shell.html

log4j 1.x易受攻击吗？由于log4j 1.x不提供查找机制，所以它不会受到CVE-2021-44228的影响。但是，请注意，log4j 1.x不再被维护。因此，我们敦促您迁移到它的继承者之一，如SLF4J和logback。不要拖得太久就迁移吧！考虑到log4j版本1.x的部署仍然非常广泛，我们已经收到了关于log4j版本1.x漏洞的一系列问题。 作为log4j 1.x不提供查找机制，它不受CVE-2021-44228的影响。 话虽如此，log4j 1.x已不再被维护，并带来了所有的安全影响。因此，我们强烈建议您尽快迁移到SLF4J/logback等它的继任者之一。但是不要等几个月就迁移！还请注意，存在一些工具来实现迁移的自动化。

Answer 2

对于1.x.x版本的log4j，如果您在log4j配置中使用JMS，则只会使容易受到攻击。描述cve-2021-44228的漏洞和可能的缓解措施在这里得到了解释。

Answer 3

正如体量所提到的，由于log4j 1.x没有提供查找机制，所以 not 受到CVE-2021-44228的影响。另见https://www.slf4j.org/log4shell.html

还应该指出，reload4j项目用log4j 1.x修复了突出的漏洞。