Apache Log4j Security Vulnerabilities で CVE-2021-44228 の Log4j 1.x への影響について追記がありました。脆弱性の影響があるかどうかの確認方法を調査したので、参考情報として掲載します。
Apache Log4j 公式サイトには、次の通り記載されています。
Log4j 1.x does not have Lookups so the risk is lower. Applications using Log4j 1.x are only vulnerable to this attack when they use JNDI in their configuration. A separate CVE (CVE-2021-4104) has been filed for this vulnerability. To mitigate: Audit your logging configuration to ensure it has no JMSAppender configured. Log4j 1.x configurations without JMSAppender are not impacted by this vulnerability.
"Apache Log4j Security Vulnerabilities". The Apache Software Foundation. Retrieved December 22, 2021.
Log4j 1.x にはルックアップがないため、リスクは低いです。但し、JNDI を使用するように構成している場合は、今回の攻撃に対して脆弱です。この脆弱性については、別途 CVE-2021-4104 が提出されています。
CVE-2021-4104 には、次の通りに記載されています。
JMSAppender in Log4j 1.2 is vulnerable to deserialization of untrusted data when the attacker has write access to the Log4j configuration. The attacker can provide TopicBindingName and TopicConnectionFactoryBindingName configurations causing JMSAppender to perform JNDI requests that result in remote code execution in a similar fashion to CVE-2021-44228. Note this issue only affects Log4j 1.2 when specifically configured to use JMSAppender, which is not the default. Apache Log4j 1.2 reached end of life in August 2015. Users should upgrade to Log4j 2 as it addresses numerous other issues from the previous versions.
"CVE-2021-4104". The MITRE Corporation. Retrieved December 22, 2021.
Log4j 1.2 の JMSAppender は、攻撃者が Log4j 構成への書き込みアクセス権を持っている場合、信頼できないデータの逆シリアル化に対して脆弱です。攻撃者は TopicBindingName および TopicConnectionFactoryBindingName 構成を提供して、JMSAppender に JNDI 要求を実行させ、CVE-2021-44228 と同様の方法でリモートコードが実行される可能性があります。
この脆弱性の影響があるかどうかは、Log4j で JMSAppender が構成されているかを確認してください。JMSAppender を使用しない構成では、この脆弱性の影響を受けません。JMSAppender を使用する構成では、構成の見直しが必要になります。尚、JMSAppender は、デフォルトでは構成されません。