易受攻击的版本号上没有JndiLookup类.Log4Shell保险箱？

Question

如果服务器上存在log4j2版本(例如，2.5或2.7)，但是JndiLookup类不存在于任何jars中，这是否意味着log4j2的这种特定实现不会受到Log4Shell的攻击？

Answer 1

根据帖子这里 (谢谢@Stephen )：

Apache提出了三种不同的解决方案，以防您还不能更新；我们尝试了所有这些方法，并发现它们都能工作。

其中一种选择是：

C.通过解压缩log4j-core-*..jar文件，删除名为org/apache/logging/log4j/core/lookup/JndiLookup.class，的组件，并再次对其他文件进行压缩，从而重新打包它。

显然，如果JndiLookup.class不存在，则利用漏洞所需的特性不存在，因此环境不容易受到Log4Shell的影响。

Answer 2

No

如果您的jar不包含一些应该存在的类，那么您正在运行一个有人篡改过的代码。

在这种情况下，您完全不知道您的系统上运行的是什么，以及潜在的bug和后门是什么。

只是你自己修改了，但那样的话你就不会问了。

从不从某个随机页面下载修改过的版本，有人声称这个版本是为了解决问题而修改的！

这是攻击者利用您的恐慌进入您的系统的简单方法。