众所周知，至少有四五个 Log4j JAR 文件最终位于类路径中。我如何知道我使用的是哪个版本？

最佳答案

我是在得知我的服务器可能容易受到新的 Log4j 攻击 (CVE-2021-44228) 攻击后来到这里的。所以我需要知道我是否安装了 Log4j 第 2 版的过时/易受攻击的版本。

这里以前的答案对检测旧版本没有帮助，因为它们是为了让已经运行的 Java 代码确定该代码使用哪个版本的 Log4j，而我需要知道是否有任何 Java 应用程序可能正在使用易受攻击的版本。

这是我所做的:

这列出了我的 (Linux) 服务器上所有与 Log4j 相关的文件。这向我展示了几个 1.x 版本，它们不受此特定 CVE 的影响，以及一个 2.15.0 文件，其中已经包含 CVE 的修复程序。

如果您运行此程序并找到具有 2.x 的文件或文件夹名称，其中 x

我被警告说这对我的目的来说还不够，因为 Log4j 文件可能隐藏在 .jar 文件中，find 命令不会发现它。

这是一个试图扫描所有 .jar 文件的公共(public)项目，以便在存档中找到 Log4j 代码: Log4-detector

关于java - 我怎样才能知道我使用的是哪个版本的 Log4J？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/37438652/