漏洞扫描O2OA 所用的log4j有漏洞，如何升级自带jvm的log4j?

blackart · 发表于 2022-4-12 14:54:46

本帖最后由 blackart 于 2022-4-13 09:36 编辑

我测试的版本是7.0.5 log4j 版本 2.15.0，现在最新版本是 2.17.2
还有FasterXML 公司的 Jackson-databind 组件也有漏洞，

如何在不重新打包的情况下更新这些组件

启蒙星 · 发表于 2022-4-13 10:23:33

o2oa的外部jar包都放在commons/ext11下，你拷贝到这个目录下，然后修改这个目录下的manifest.cfg里需要升级的jar包信息，最后重启即可。Jackson-databind我们会在下一版升级。

blackart · 发表于 2022-4-18 09:42:17

感谢回复，已按照您说的方法解决

论坛管理员 · 发表于 2022-4-18 09:52:31