Vilken Log4J version är säker?

Äldre är relativt.

1.x har inte sårbarheten eftersom den introducerades någon gång i 2.x.
2.3.2 (för Java 6), 2.12.4 (för Java 7), or 2.17.1(för Java 8 och senare) är inte drabbade.
https://logging.apache.org/log4j/2.x/security.html

När jag kollade mot listan här: https://github.com/cisagov/log4j-affected-db/blob/develop/SOF...
så hittade jag enbart APC(by SE) produkter här hemma, men p.g.a. deras ålder så är dom inte drabbade utav den här sårbarheten .

Där finns en möjlighet att köra kommandon på värden som nyttjar Log4j(om man lyckas ändra dess konfigurationsfil) och då kommer det att köras med samma behörighet som programmet som kör Log4j, vilket i vissa lägen kan köras med onödigt hög behörighet och således få tillgång till allt i värsta fall på värden och kanske därefter även nätverket.