此问题在此处已有答案:
Log4j vulnerability - Is Log4j 1.2.17 vulnerable (was unable to find any JNDI code in source)?(3个答案)
11个月前关闭。
我有一个非常旧的Solr版本,我一直在尝试看看它是否受到Log4Shell vulnerability的影响,每个人都在担心(CVE-2021-44228)。
CVE似乎只适用于以后的版本,但一位同事不买它,所以我试图找出真相。
此问题在此处已有答案:
Log4j vulnerability - Is Log4j 1.2.17 vulnerable (was unable to find any JNDI code in source)?(3个答案)
11个月前关闭。
我有一个非常旧的Solr版本,我一直在尝试看看它是否受到Log4Shell vulnerability的影响,每个人都在担心(CVE-2021-44228)。
CVE似乎只适用于以后的版本,但一位同事不买它,所以我试图找出真相。
2条答案
按热度按时间ipakzgxi1#
我有大约95%的把握认为这对于旧版本的Log4j来说没有问题。
1.我使用的是1.2版。我在系统上找到了Log4j JAR文件,将其解压缩,并查找了任何涉及JNDI的内容:
这并没有带来什么结果,所以我感觉很好。CVE说你通常可以通过查看JAR文件来找到一些东西。它建议你这样做:
那对我没有用。
1.我查了一下changelog for Log4j。它说2.0-beta 9版本:
添加JNDILookup插件。修复LOG4J 2 -313。感谢Woonsan Ko。
所以我认为可以肯定地说,在此之前,JNDI在Log4j中是不存在的。
1.我检查了old manual for version 1.2并将其与最新版本进行了比较。在最新版本中,有一个“Lookups”部分解释了JNDI如何工作。在1.2版本中,这个部分根本不存在。
我觉得......还行吧?
uxh89sit2#
Ralph Goers(Apache Log4J维护者)说:
此漏洞有两个方面。
因此,结论是Log4J 1.x是安全的,不受Log4Shell的影响,除非您使用JMS附加器。在这种情况下,您必须分析在附加器中执行的操作。