Hallo Herr Hayder!
Zu Ihren Fragen kann ich folgendes mitteilen:
zu 1.):
Log4J 1.x beinhaltet nicht den Code mit der ursprünglichen Lücke - insofern ist es nicht erforderlich die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS zu setzen.
zu 2.)
"Entgegen der anderslautenden ursprünglichen Annahme ist Berichten zufolge die Programmbibliothek auch
in den Versionen 1.x verwundbar. In diesen Fällen sei die Verwundbarkeit jedoch nur über eine schadhafte
Programmkonfiguration ausnutzbar, sodass eine Ausnutzung weit weniger wahrscheinlich erscheint. [GIT2021d]"
Diese zitierte Verwundbarkeit in Log4J 1.x ist eine ANDERE Verwundbarkeit. Bei DocuWare liegt diese schadhafte Konfiguration NICHT vor -insofern sind DocuWare OnPrem Systeme davon nicht betroffen