如何减轻Log4j 1.2版中的Log4Shell漏洞？ [英] How can I mitigate the Log4Shell vulnerability in version 1.2 of Log4j?

问题描述

我有一个非常旧的Solr版本，我一直在尝试查看它是否受到每个人都抓狂的Log4Shell vulnerability(CVE-2021-44228)的影响。

CVE似乎只适用于更高版本，但同事不买账，所以我在努力找出真相。

Log4j

我大约95%确定这对于较旧版本的推荐答案没有问题。三个原因：

1. 我使用的是1.2版。我在我的系统上找到了Log4jJAR文件，将其解压缩，并查找任何提到JNDI的内容：

   find / -iname '*log4j*'
   unzip /etc/opt/jetty/lib/ext/log4j-1.2.17.jar | grep -i jndi
   

   那什么也没带回来，所以我在那里感觉很好。CVE说您通常可以通过查看JAR文件找到一些东西。它建议您这样做：

    zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
   

   那对我没有任何帮助。

2. 我翻了翻changelog for Log4j。它显示版本2.0-Beta9：

   添加JNDILookup插件。修复了LOG4J2-313。感谢高云山。

   所以我认为可以肯定地说，在此之前，Log4j中不存在JNDI。Jira ticket that added it is here。

3. 我检查了old manual for version 1.2，并将其与最新版本进行了比较。在最新的一篇文章中，有一节介绍了JNDI是如何工作的。在1.2版中，该部分不存在。

我觉得……很好？

这篇关于如何减轻Log4j 1.2版中的Log4Shell漏洞？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！