Versões LOG4J 1.X potencialmente vulneráveis a ataque
Alertamos sobre a possibilidade de que versões Log4J inferiores à 2.0 estejam também vulneráveis a ataques Log4Shell, mas de forma indireta, caso a configuração da biblioteca permita requisições JNDI:
"Log4j version 1.x is not directly vulnerable, because it does not offer a JNDI look up mechanism. However, Log4j 1.x comes with JMSAppender, which will perform a JNDI lookup if enabled in Log4j's configuration file (i.e., log4j.properties or log4j.xml). Thus, an attacker who can write to an application's Log4j configuration file can perform a remote code execution attack whenever Log4j 1.x reads its malicious configuration file." [1]
A Fundação Apache, desenvolvedora da biblioteca, já lançou correções para o problema [2].
[1] https://www.technology.pitt.edu/content/additional-guidance-regarding-log4j-vulnerability
[2] https://logging.apache.org/log4j/2.x/security.html