使未使用的log4j2 jar库安全

Question

关于log4j2 RCE问题的缓解措施。我们有几个实例，例如，Windows2012 r2上的oracle安装，其中似乎存在一个log4j2 jar的版本，通常是1.x版本，但它没有被使用。Apache没有安装。

我可以把jar重命名为另一种文件类型吗？例如，log4j2.jar转到log4j2.jar.old。

这将删除或禁用log4j漏洞吗？

Answer 1

让我们首先在这里讨论一些误解：

• Apache软件基金会是一个支持开源软件开发的非营利组织。
• -- Apache，通常被称为Apache，是一个web服务器。
• Apache Log4j是一个用于

应用程序的日志库。

• Log4j 2 (< 2.15.0)受Log4shell漏洞的影响。更具体地说，该漏洞位于log4j-core中(对于instance).
• Log4j 1不是log4j-api，该漏洞自2015年以来就没有维护过，不受此漏洞的影响(但受others).

影响)。

和Log4j是不相关的软件，因此后者可以在没有前者的情况下使用。

当Log4j作为应用程序的一部分分发时，您通常可以假设该应用程序使用它，因为日志记录通常是应用程序支持工具的一个核心方面。删除库(或更改其扩展)可能会导致应用程序崩溃或行为不当。

Log4j 2故意与Log4j 1不向后兼容(它允许将两者都包含在同一个应用程序中)，因此不能只将Log4j 1替换为2。

手动将Log4j 2升级到最新版本可能有效(取决于最初使用的版本)，但最好的选择是与应用程序供应商联系以获得修复，并根据需要升级应用程序。