我用的是liferay 7.2.1 GA2,里面有log4j,但是我不知道它在哪里,用的是哪个版本的liferay,唯一找到的是app manager里的liferay包com.liferay.portal.log4j.extender。在liferay中使用的log4j是哪个版本的?是否可以为liferay更新它?
com.liferay.portal.log4j.extender
p5cysglq1#
Liferay门户网站7.2使用log4j 1.2.17您可以在源代码的lib/versions.html文件中查看Liferay Portal 7.2使用的库,请在此处查看Liferay Portal 7.2的log4j版本:
如果您是因为Log4j 2.x Zero-Day漏洞而问这个问题,它只影响Liferay Portal 7.4版本。有关更多信息,请参阅此帖子:https://liferay.dev/blogs/-/blogs/log4j2-zero-day-vulnerability
nwsw7zdq2#
如果你使用的是Elasticsearch sidecar(捆绑的Elasticsearch),liferay会在启动时启动一个额外的进程。据我所知,这个进程使用的是log4j-core 2.13.3。有博客说,ElasticSearch不直接受影响,通常这些端口不应该暴露-所以你应该确保这一点。
2条答案
按热度按时间p5cysglq1#
Liferay门户网站7.2使用log4j 1.2.17
您可以在源代码的lib/versions.html文件中查看Liferay Portal 7.2使用的库,请在此处查看Liferay Portal 7.2的log4j版本:
如果您是因为Log4j 2.x Zero-Day漏洞而问这个问题,它只影响Liferay Portal 7.4版本。
有关更多信息,请参阅此帖子:https://liferay.dev/blogs/-/blogs/log4j2-zero-day-vulnerability
nwsw7zdq2#
如果你使用的是Elasticsearch sidecar(捆绑的Elasticsearch),liferay会在启动时启动一个额外的进程。据我所知,这个进程使用的是log4j-core 2.13.3。
有博客说,ElasticSearch不直接受影响,通常这些端口不应该暴露-所以你应该确保这一点。