Apache Log4j脆弱性(CVE-2021-44228)のLiferayへの影響について - Apache Log4j脆弱性(CVE-2021-44228)のLiferayへの影響について - aegif Labo Blog Liferay
null Apache Log4j脆弱性(CVE-2021-44228)のLiferayへの影響について
インストール
2021.12.15
Apache Log4j脆弱性(CVE-2021-44228)のLiferayへの影響について分かっていることをまとめました(おもにこちらの記事を参考にしています)
Liferay DXP/Portal 7.4
問題のあるバージョンのLog4jを使用しているため、影響を受けるとのことです。現在、修正作業が行われているようですが、一時的な脆弱性軽減策としてJVMオプションに以下の設定を追加することがお勧めされています。
-Dlog4j2.formatMsgNoLookups=true
Liferay DXP/Portal 7.3以下
本件の影響を受けないとのことです。Elasticsearch検索用のコネクタ(Liferay Connector to Elasticsearch 6/7)が脆弱性のあるバージョンのLog4jを利用しているものの、脆弱性をついた攻撃を受ける実装になっておらず、影響はないとのこと。そのうえで、脆弱性のあるLog4jを更新する作業を行っているとのことです。
カスタマイズモジュール/プラグイン
各社の実装に依存するため、確認が必要です。
なお、検索エンジンとしてElasticsearchを使うことが多いと思いますが、ElasticsearchはそのバージョンとJDKのバージョンとの組み合わせでLog4j脆弱性の影響を受けることがあるようです。こちらの記事を参考にElasticsearchをアップグレードするか上記と同様のJVMオプションによる緩和策を取る必要がありそうです。
RANKING
2021.1.08
2020.12.28
2020.12.01
2020.10.30
2020.12.18
Liferay DXP 7.3の新機能であるアプリビルダー(App Builder)をご紹介!
Liferay7.3から導入されたLiferay API Explorerを紹介します。
2020年10月にリリースされたLiferay DXP 7.3の新機能について紹介します
Liferay 7ではデフォルトでレスポンスヘッダにプロダクト情報が出力されるため、それを削除する方法をご紹介
Liferay 7で実際にデータベースに対して発行されているクエリを出力する方法をご紹介