尝试确定是否可以从服务器上的 /usr/share/java 位置完全删除 log4j.jar。在我们的安全扫描中,它显示为易受攻击的 1.2.17 版本。我已经测试过删除它,并且我似乎没有在 Tomcat 或 RHEL 中看到因不存在而导致的任何问题。只是寻找确认不需要此罐子或它的用途或可能引用它的位置。谢谢。
注意:我不是 SA,只是填写,直到他们可以雇用人员为止。如果您对此情况有任何疑问,请告诉我。
从位置移除 Jar 并测试功能。
如果你想删除log4j。我建议您执行以下操作:
1 搜索安装该库的rpm包: rpm -qf /usr/share/java/log4j.jar 示例 log4j-1.2.17-18.el7_4.noarch
2 执行该包的删除: 百胜删除 log4j-1.2.17-18.el7_4.noarch
3 在确认之前,请验证依赖项不会影响您的系统。