Log4j 漏洞 - Log4j 1.2.17 是否存在漏洞（无法在源代码中找到任何 JNDI 代码）？

关于已确定的 Log4j JNDI 远程代码执行漏洞 CVE-2021-44228 -（另请参阅参考资料）- 我想知道 Log4j-v1.2 是否也受到影响，但我从源代码审查中得到的最接近的是 JMS -追加器。

问题是，虽然互联网上的帖子表明 Log4j 1.2 也存在漏洞，但我找不到它的相关源代码。

我错过了其他人已经确定的东西吗？

Log4j 1.2 似乎在 socket-server 类中存在漏洞，但我的理解是它需要首先启用才能适用，因此不像 JNDI 查找漏洞那样是一种被动威胁似乎。

我的理解 - Log4j v1.2 - 不容易受到 jndi-remote-code 执行错误的影响是否正确？

参考

• Apache Log4j 安全漏洞

• 无处不在的 Log4j 工具中的零日漏洞对互联网构成严重威胁

• 互联网上最糟糕的 Apache Log4j RCE 零日攻击

• “Log4Shell”漏洞对使用“无处不在”的 Java 日志包 Apache Log4j 的应用程序构成严重威胁

Cloudflare 的这篇博 文也表明了与 AKX 相同的观点……它是从 Log4j 2 引入的！

更新 #1 -（现已停用的）apache-log4j-1.2.x 的一个分支现在可用（来自 log4j 的原始作者），其中包含针对旧库中发现的几个漏洞的补丁修复。该站点是 https://reload4j.qos.ch/ 。截至 2022 年 1 月 21 日，版本 1.2.18.2 已发布。迄今为止解决的漏洞包括与 JMSAppender 、 SocketServer 和 Chainsaw 漏洞有关的漏洞。请注意，我只是在转发此信息。还没有从我这边验证修复。请参阅链接以获取更多详细信息。

原文由 Ravindra HV 发布，翻译遵循 CC BY-SA 4.0 许可协议