Apache Log4j 1.x has reached its end-of-life

問題

LiferayはLog4j 1.xの終了を認識しており、機能要求として記録しており、ここで追跡することができます： [LPS-59243] Log4jを2.xにアップグレードする
依存関係の1つがEOLになったからといって、セキュリティの脆弱性を意味するものではないので、Liferayはそれを維持し、今後発生する問題を修正することに成功しました。
さらに、既知のLog4j 1.xの脆弱性のいずれも、DXPですぐに悪用できるものではありません。
Liferayは、脆弱な依存関係を出荷することに関するOWASP Top10ルールを確認するために、パッチを当てたLog4j 1.xを提供できます。しかし、EOLを達成したため、アップデートは提供できず、代わりに脆弱性がLiferayに影響を与える場合にパッチを適用する予定です。
DXP 7.4では、Liferayは最新のlog4j2バージョンを使用していますが、以前のLiferayバージョンでは、セキュリティチームはlog4jをreload4jに置き換えることを決定しました。 LPS-111104で、この変更の作業が行われていますが、各バージョンで完全に置き換えるには、時間がかかるかもしれません。

この問題に対してHotfixが必要な場合は、パッチの詳細を添付して、Hotfixを要求するサポートチケットを作成してください。
Liferay DXPへのFix PackとHotfixのインストール では、お客様の環境でのFixpack/Hotfixのインストール方法をご案内しています。