• ユーザーは、適用したパッチによってlog4jの脆弱性がすべて解消されたかどうかを、どのように確認することができますか？

• DXP 7.1
• DXP 7.2
• DXP 7.3

log4j の修正プログラムにより、対象となる脆弱性が解消されているかどうかを確認する手順を以下に示します：

による脆弱性を検索する場合： CVE-2021-45105、CVE-2019-17571、CVE-2020-9488、CVE-2021-4104、CVE-2019-17571。

Elasticsearch Connectorの確認方法です：

1. パッチのインストール
2. osgi/marketplace へ移動します。
3. Elasticsearch」で検索してください。 Tここでは、複数の結果が出るはずです。

4. Liferay Foundation - Liferay Connector to Elasticsearch X - Impl.lpkg"（Xは6または7）を開いてください。
5. com.liferay.portal.search.elasticsearchX.impl-5.0.21.hotfix-YYYY-ZZZZ.jar" に移動してアーカイブを開いてください。
6. lib/に移動して、log4jのjarを表示します。
7. log4j-api-2.17.0.jar と log4j-core-2.17.0.jar が表示されるはずです。
8. 他のlog4jの.jarファイルは表示されないはずです。
   

上記以外のlog4jのインスタンスが存在する場合は、以下の修正依頼をお願いします： LPE-17451 および LPE-17270

による脆弱性を検索する方法です： CVE-2019-17571,CVE-2020-9488,CVE-2021-4104

1. パッチのインストール
2. tomcat-9.0.37/webapps/ROOT/WEB-INF/lib に移動し、"log4j.jar "ファイルを探す（または検索する）。
3. "log4j.jar "のインスタンスが見つからないはずです。
4. 代わりに reload4j.jar を検索してください。これは Liferay がロギングに使用する新しいコンポーネントだからです。
   

もし、log4jのインスタンスがあるようでしたら、本修正をリクエストしてください： LPE-17063

• log4jの脆弱性に関するLiferayの声明文