問題
- Google Guavaには、1.0から31.1までのバージョンに影響する脆弱性が存在します。 Liferayは現在Guavaにバンドルされている。 と報告されている。
osb-distributed-messaging-google-pubsub-connector
は、既知の脆弱性が存在するGuava 30.1.1への依存を宣言しています。 CVE-2023-2976。
環境
- Liferay 7.2+
解像度
- 脆弱性を回避するためには、Guavaのバージョンが32以上のLiferay環境にアップグレードすることが推奨される。 Liferay 7.4 U92はGuava 32.0.1を使用しており、この脆弱性を緩和する最も早いアップデートです。
- Liferayバンドルが使用しているGuavaのバージョンを確認するには、 Liferay HomeからLiferayターミナルで以下のコマンドを実行します。
-
grep -r 'guava'
会員限定記事
Liferay エンタープライズ サブスクリプションをお持ちのお客様は1500件を超えるベストプラクティス、トラブルシューティング、その他のソリューション記事を閲覧できます。ログインすると、記事全体をお読みいただけます。
ログイン