Log4j 1.x兼容性API是否存在安全漏洞？

Question

我有一个旧项目，其中有一些在运行时Log4j 1类中使用的jars，我不能升级那些废弃的jars或升级到Log4j2，因为不推荐的库是为使用Log4j1而构建的。根据Apache的网站，第1版已经不受支持了：

请注意，Log4j 1.x已经到了生命的尽头，不再受支持。2015年8月后报告的针对Log4j 1.x的漏洞没有被检查，也不会被修复。用户应该升级到Log4j 2以获得安全修复。

我想保护这个应用程序免受安全风险。

所以我想知道我是否使用了最新的Apache Log4j 1.x兼容性API、最新的Apache Log4j API和最新的Apache Log4j核心。

这能保护我的申请吗？还是最新的ApacheApache1.x兼容性API仍然存在安全问题？

Answer 1

如果您谈论的是CVE-2021-44228，那么是的，它不会影响1.2.x版本的log4j。

Answer 2

Log4j 1.x Compatibility API (log4j-1.2-api.jar)是而不是，它受Log4j 1.x的任何安全漏洞的影响。

但是，如果您使用Log4j 2.xCore作为Log4j 2.xAPI的后端，则会受到Log4j 2.xCore漏洞的影响。最后一个已知的版本是在2.17.0版本中修复的，这是在您的问题发布几天后发布的。

Answer 3

这个问题在log4j版本1.*中不存在。