搜索 log4j 漏洞的最佳方法是什么？在源代码中搜索“log4j”关键字就足够了吗？它是否只影响 Java 应用程序？我在某处读到应用程序有时会以另一个名称重命名 log4j。快速谷歌搜索提供了几种工具，声称可以检测到漏洞。

uj5u.com热心网友回复：

该漏洞来自JndiLookup.class. 在您的控制台中使用以下命令：

sudo grep -r --include "*.jar" JndiLookup.class /

如果它什么都不回传，你就不会受到攻击。但是你可能会遇到这样的回报：

Fichier binaire /home/myuser/docx2tex/calabash/distro/lib/log4j-core-2.1.jar correspondant

或者

grep: /usr/share/texmf-dist/scripts/arara/arara.jar : fichiers binaires correspondent

第一个明显易受攻击（版本匹配），第二个必须进行调查。为了降低风险，我立即洗掉了 JndiLookup.class 并使用以下内容：

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

和

zip -q -d arara.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

应用程序可能会继续作业，也可能不会。顺便说一下，必须使用 log4J >= 2.17 升级到版本。这是下一步，在此期间您不再脆弱。

uj5u.com热心网友回复：

您可以使用以下扫描器来识别应用程序中存在漏洞的 log4j jar 档案。