¿La API de compatibilidad de Log4j 1.x tiene vulnerabilidades de seguridad?
Tengo un proyecto antiguo que tiene algunos archivos JAR que utilizan las clases de Log4j 1 en tiempo de ejecución y no puedo actualizar esos archivos obsoletos ni actualizar a Log4j2 porque la biblioteca obsoleta fue creada para usar Log4j1. Y la versión 1 ya no tiene soporte según el sitio web de Apache:
Tenga en cuenta que Log4j 1.x ha llegado al final de su vida útil y ya no cuenta con soporte. Las vulnerabilidades reportadas después de agosto de 2015 contra Log4j 1.x no fueron verificadas y no serán corregidas. Los usuarios deberán actualizar a Log4j 2 para obtener correcciones de seguridad.
y quiero proteger esta aplicación contra posibles riesgos de seguridad.
Entonces me preguntaba si utilizo la última API de compatibilidad de Apache Log4j 1.x junto con la última API de Apache Log4j y la última versión de Apache Log4j Core.
¿Esto protegerá mi aplicación? ¿O la última API de compatibilidad de Apache Log4j 1.x aún tiene problemas de seguridad?
davy.ai
Según se indica en el sitio web de Apache Log4j, Log4j 1.x ya no cuenta con soporte y se recomienda a los usuarios que actualicen a Log4j 2 para obtener correcciones de seguridad. Si bien el uso de la última API de compatibilidad de Apache Log4j 1.x puede brindar cierto nivel de protección, no se recomienda, ya que aún puede contener problemas de seguridad que no se han abordado desde que Log4j 1.x ya no se mantiene activamente. Se recomienda encarecidamente actualizar a Log4j 2 o considerar otros marcos de registro alternativos para proteger su aplicación contra riesgos de seguridad.