null Apache Log4j脆弱性(CVE-2021-44228)のLiferayへの影響について

インストール 2021.12.15

Apache Log4j脆弱性(CVE-2021-44228)のLiferayへの影響について分かっていることをまとめました(おもにこちらの記事を参考にしています)

 

Liferay DXP/Portal 7.4

問題のあるバージョンのLog4jを使用しているため、影響を受けるとのことです。現在、修正作業が行われているようですが、一時的な脆弱性軽減策としてJVMオプションに以下の設定を追加することがお勧めされています。

-Dlog4j2.formatMsgNoLookups=true

Liferay DXP/Portal 7.3以下

本件の影響を受けないとのことです。Elasticsearch検索用のコネクタ(Liferay Connector to Elasticsearch 6/7)が脆弱性のあるバージョンのLog4jを利用しているものの、脆弱性をついた攻撃を受ける実装になっておらず、影響はないとのこと。そのうえで、脆弱性のあるLog4jを更新する作業を行っているとのことです。

カスタマイズモジュール/プラグイン

各社の実装に依存するため、確認が必要です。

 

なお、検索エンジンとしてElasticsearchを使うことが多いと思いますが、ElasticsearchはそのバージョンとJDKのバージョンとの組み合わせでLog4j脆弱性の影響を受けることがあるようです。こちらの記事を参考にElasticsearchをアップグレードするか上記と同様のJVMオプションによる緩和策を取る必要がありそうです。

RANKING
f

アプリビルダー機能の紹介

Liferay DXP 7.3の新機能であるアプリビルダー(App Builder)をご紹介!
Liferayについてアプリビルダー機能の紹介
2021.1.08
f

Liferay API Explorerの紹介

Liferay7.3から導入されたLiferay API Explorerを紹介します。
LiferayについてLiferay API Explorerの紹介
2020.12.28
f

Liferay DXP 7.3 新機能の紹介(1)

2020年10月にリリースされたLiferay DXP 7.3の新機能について紹介します
LiferayについてLiferay DXP 7.3 新機能の紹介(1)
2020.12.01
i

Liferay 7でレスポンスヘッダに出力されるプロダクト情報を削除する

Liferay 7ではデフォルトでレスポンスヘッダにプロダクト情報が出力されるため、それを削除する方法をご紹介
LiferayについてLiferay 7でレスポンスヘッダに出力されるプロダクト情報を削除する
2020.10.30
f

Liferay 7でSQLクエリを出力する

Liferay 7で実際にデータベースに対して発行されているクエリを出力する方法をご紹介
LiferayについてLiferay 7でSQLクエリを出力する
2020.12.18