CVE-2021-44228 和 log4j 1.2.17

Posted 2023-02-18

【中文标题】CVE-2021-44228 和 log4j 1.2.17

【英文标题】：CVE-2021-44228 and log4j 1.2.17

【发布时间】：2022-01-16 21:59:33

【问题描述】：

我在 log4j 1.2.17 上，我们使用（apache-log4j-extras 以及相同的版本）。

如果 CVE-2021-44228 会影响此版本，您能告诉我吗？

谢谢

【问题讨论】：

这能回答你的问题吗？ How to mitigate log4shell vulnerability in version 1.2 of log4j?

使用 log4j 1.x，您会受到 CVE-2021-4104 和 CVE-2019-17571 的影响，它们可能具有类似的影响。因此，您可能想要升级。

【参考方案1】：

specific vulnerability 不存在。见http://slf4j.org/log4shell.html:

log4j 1.x 是否易受攻击？ 由于 log4j 1.x 不提供查找机制，因此它不受 CVE-2021-44228 的影响。但是，请注意不再维护 log4j 1.x。因此，我们敦促您迁移到其继任者之一，例如 SLF4J 和 logback。迁移不要耽误太多时间！ 鉴于 log4j 1.x 版的部署仍然非常广泛，我们一直收到关于 log4j 1.x 版漏洞的源源不断的问题。

由于 log4j 1.x 不提供查找机制，因此它不会受到 CVE-2021-44228 的影响。

话虽如此，log4j 1.x 不再维护所有必要的安全隐患。因此，我们强烈建议您尽快迁移到其继任者之一，例如 SLF4J/logback。但是不要等待几个月就迁移！另请注意，存在用于自动迁移的工具。

【参考方案2】：

对于 log4j 的 1.x.x 版本，仅在您的 log4j 配置中使用 JMS Appender 时容易受到攻击。 Description of the vulnerability and possible mitigations of cve-2021-44228 在这里解释。