blackart 发表于 2022-4-12 14:54:46

漏洞扫描O2OA 所用的log4j有漏洞,如何升级自带jvm的log4j?

本帖最后由 blackart 于 2022-4-13 09:36 编辑

我测试的版本是7.0.5 log4j 版本 2.15.0,现在最新版本是 2.17.2
还有FasterXML 公司的 Jackson-databind 组件也有漏洞,

如何在不重新打包的情况下更新这些组件

启蒙星 发表于 2022-4-13 10:23:33

o2oa的外部jar包都放在commons/ext11下,你拷贝到这个目录下,然后修改这个目录下的manifest.cfg里需要升级的jar包信息,最后重启即可。Jackson-databind我们会在下一版升级。

blackart 发表于 2022-4-18 09:42:17

感谢回复,已按照您说的方法解决:victory:

论坛管理员 发表于 2022-4-18 09:52:31

:)
页: [1]
查看完整版本: 漏洞扫描O2OA 所用的log4j有漏洞,如何升级自带jvm的log4j?