我使用liferay 7.2.1 GA2,里面有log4j。但我无法弄清楚它在哪里以及在 liferay 中使用的是哪个版本。我唯一发现的是com.liferay.portal.log4j.extender
应用管理器中的 liferay 包。
liferay 中使用了哪个版本的 log4j?是否可以为liferay更新它?
我使用liferay 7.2.1 GA2,里面有log4j。但我无法弄清楚它在哪里以及在 liferay 中使用的是哪个版本。我唯一发现的是com.liferay.portal.log4j.extender
应用管理器中的 liferay 包。
liferay 中使用了哪个版本的 log4j?是否可以为liferay更新它?
Liferay Portal 7.2 使用log4j 1.2.17
您可以在源代码的lib/versions.html文件中查看 Liferay Portal 7.2 使用的库,在此处查看 Liferay Portal 7.2 的 log4j 版本:
如果您因为Log4j 2.x 零日漏洞而问这个问题,它只影响 Liferay Portal 7.4 版本。
有关更多信息,请参阅这篇文章:https ://liferay.dev/blogs/-/blogs/log4j2-zero-day-vulnerability
如果您使用的是 Elasticsearch sidecar(捆绑的 Elasticsearch),liferay 在启动时会启动一个额外的进程。据我所知,这个使用的是 log4j-core 2.13.3。
有博客文章指出弹性搜索没有直接影响,通常这些端口不应该暴露 - 所以你应该确保这一点。