Hay muchos y muy variados que usan esta herramienta, o que no la usan pero la tienen instalada.
Cocidos fabricantes como Oracle, VMware, NetApp y muchos otros usan Log4j en algunos de sus productos.
Y, por supuesto, empresas de desarrollo de software para uso privado.
Lo importante para evitar que exploten esta vulnerabilidad de Log4j son los servicios que tengan acceso externo (a Internet). Los servicios/aplicativos que no tengan acceso fuera de la LAN tienen un menor impacto, al no estar tan expuestos a ataques.
Un servidor con Oracle y Linux, que sí usa Log4j, siempre que no tenga accesibilidad externa, no será muy precupante. Si bien es conveniente actualizar Log4j a su versión corregida, por si el ataque viene desde la propia LAN:
[ora@serveroracle ~]# find / -iname «*log4j*.jar»
/ora/sof/database/stage/ext/jlib/log4j-core.jar
/ora/sof/6880880/OPatch/ocm/lib/log4j-core.jar
/opt/oracle/product/11/OPatch/ocm/lib/log4j-core.jar
/opt/oracle/product/11/oc4j/ant/lib/ant-apache-log4j.jar
/opt/oracle/product/11/ccr/lib/log4j-core.jar
/opt/oracle/product/11/oui/jlib/jlib/log4j-core.jar
/opt/oracle/product/11/inventory/Scripts/ext/jlib/log4j-core.jar
/opt/oracle/product/11/inventory/backup/2016-06-23_01-32-58PM/Scripts/ext/jlib/log4j-core.jar
/opt/oracle/product/11/sysman/jlib/log4j-core.jar
/opt/oracle/product/11/sysman/jlib/ocm/log4j-core.jar
/home/oracle/oracle.ahf/common/jlib/log4j-core-2.13.3.jar
/home/oracle/oracle.ahf/common/jlib/log4j-api-2.13.3.jar
