Versões LOG4J 1.X potencialmente vulneráveis a ataque

15/12/2021
Bruno Ferreira

Alertamos sobre a possibilidade de que versões Log4J inferiores à 2.0 estejam também vulneráveis a ataques Log4Shell, mas de forma indireta, caso a configuração da biblioteca permita requisições JNDI:

"Log4j version 1.x is not directly vulnerable, because it does not offer a JNDI look up mechanism. However, Log4j 1.x comes with JMSAppender, which will perform a JNDI lookup if enabled in Log4j's configuration file (i.e.,  log4j.properties or log4j.xml). Thus, an attacker who can write to an application's Log4j configuration file can perform a remote code execution attack whenever Log4j 1.x reads its malicious configuration file." [1]


A Fundação Apache, desenvolvedora da biblioteca, já lançou correções para o problema [2].


[1] https://www.technology.pitt.edu/content/additional-guidance-regarding-log4j-vulnerability

[2] https://logging.apache.org/log4j/2.x/security.html