Log4j 漏洞

AKX*_*AKX 38

JNDI 功能已添加到 Log4j 2.0-beta9中。

因此，Log4j 1.x 没有易受攻击的代码。

结果 log4j 1 在某些配置中可能容易受到攻击：github./apache/logging-log4j2/pull/608#issuement-990494126 (12认同) 值得指出的是，虽然 Log4j 1.x 并非以同样的方式易受攻击，但此时它已打开多个 CVE（nvd.nist.gov/vuln/detail/CVE-2021-4104，https： //nvd.nist.gov/vuln/detail/CVE-2019-17571) 并且自 2015 年 8 月起停止使用 (blogs.apache./foundation/entry/apache_logging_services_project_announces)。可能值得考虑的是，“如果已经有多个漏洞利用，还能发现什么？” 对于不再接收更新的库。 (6认同)

Mic*_*ade 34

虽然不受完全相同的 Log4Shell 问题的影响，但Apache Log4j 团队建议从您的 JAR 文件中删除在CVE-2019-17571JMSAppender中存在漏洞的and 。SocketServer

您可以使用该zip命令删除受影响的类。将文件名/版本替换为您的：

zip -d log4j-1.2.16.jar /apache/log4j/net/JMSAppender.class
zip -d log4j-1.2.16.jar /apache/log4j/net/SocketServer.class

您可以使用less和grep浏览 zip 中的文件，例如less log4j-1.2.16.jar | grep JMSAppender

话虽如此，Apache 建议您尽可能升级到 2.x 版本。根据他们的安全页面：

请注意，Log4j 1.x 已结束生命周期，不再受支持。2015 年 8 月之后报告的针对 Log4j 1.x 的漏洞没有经过检查，也不会修复。用户应升级到 Log4j 2 以获得安全修复。

只是提醒一下 - log4j jar 文件仍将驻留在已部署的 war 文件和开发人员 maven 存储库中。因此，应用程序的任何重建和使用这些重新部署都将重新引入这些类。 (2认同)