如何缓解 Log4j 1.2 版中的 Log4Shell 漏洞？

mli*_*ner 22

我大约 95% 的把握这对于旧版本的 Log4j 来说没问题。三个原因：

我在 1.2 版。我在我的系统上找到了 Log4j JAR 文件，将其解压缩，然后查找任何提及 JNDI 的内容：

find / -iname '*log4j*'
unzip /etc/opt/jetty/lib/ext/log4j-1.2.17.jar | grep -i jndi

那什么也没带回来，所以我在那里感觉很好。CVE 表示您通常可以通过查看 JAR 文件找到一些东西。它建议你这样做：

 zip -q -d log4j-core-*.jar /apache/logging/log4j/core/lookup/JndiLookup.class

那对我没有任何帮助。

我翻阅了Log4j 的变更日志。它对 2.0-beta9 版本说：

添加 JNDILookup 插件。修复 LOG4J2-313。感谢 Woonsan Ko。

所以我认为可以肯定地说在此之前 Log4j 中不存在 JNDI。添加它的Jira 票在这里。

我检查了1.2 版的旧手册并将其与最新版本进行了比较。最近，有一个“查找”部分解释了 JNDI 的工作原理。在 1.2 版中，该部分不存在。

我觉得……还好吧？

但请记住，Log4j 1 在 **2015** 中达到了生命周期的终点。无论哪种方式，您都应该切换到不同的日志框架，无论是 Log4j 2、Logback 还是其他。 (2认同) 如果使用 `JMSAppender`，log4j 1.x 似乎很容易受到攻击。见 github./apache/logging-log4j2/pull/608#issuement-990494126 (2认同) @Maksim，阅读这些评论，log4j 1.x 中的漏洞似乎比这里介绍的要少得多。他们似乎属于“你应该升级，但你的房子没有着火”的领域。[This](github./apache/logging-log4j2/pull/608#issuement-991723301)，例如，表明 1.x 漏洞取决于使用可能不常见的特定配置。不过，我不在我的 Java 驾驶室里，所以如果我遗漏了什么，请纠正我。 (2认同)

rob*_*bob 9

Ralph Goers（Apache Log4J 维护者）说：

这个漏洞有两个方面。

Log4j 2 的查找机制（属性解析器）正在记录的消息文本上执行。这意味着如果应用程序正在记录用户输入（几乎每个人都这样做），用户可能会导致调用 Lookup 机制。 Log4j 2 在各个地方都支持 JNDI，包括作为查找。JNDI 本身非常不安全。这些因素的综合影响使其成为 Log4j 2 的严重严重性问题。Log4j 1 和 Logback 都具有使用 JNDI 的组件，并且没有做任何事情来限制 JNDI 漏洞。对于 Log4j 1，它是 JMS Appender。曝光较小，但仍然存在。如果有人可以访问日志记录配置，他们可能会导致坏事发生。

链接参考？我似乎无法找到 Goers 发布此内容的位置。 (2认同)