CVE-2022-23305, CVE-2022-23307, and CVE-2017-5645

問題

本記事では、Liferay DXPに関する脆弱性CVE-2022-23305、CVE-2022-23307、CVE-2017-5645の懸念点について概説します。

CVE-2020-9493 または CVE-2022-23307 Apache Chainsaw に存在するデシリアライズの問題を確認しました。 Apache Chainsawは、Log4jのXMLLayout形式のログファイルを読むことができるGUIベースのログビューアであるようです。 Log4jはデフォルトでChainsawを使用するように設定されていません。 Liferay DXPはChainsawを有効にしていないため、このような脆弱性はないはずです。
CVE-2017-5645 - これは LPS-111104によって完全に修正されています。しかし、一時的な修正プログラム（）では、JARにパッチを当て、脆弱なコードを削除することで問題を解決しています。
CVE-2022-23305 - これは LPS-111104によっても完全に解決されるでしょう。しかし、この脆弱性は、Liferay DXPではデフォルトで使用されていないJDBCAppenderを使用することに関係しています。

これらの懸念に対してHotfixが必要な場合、パッチの詳細を添付してHotfixを要求するサポートチケットを作成してください。
Liferay DXPへのFix PackとHotfixのインストール では、お客様の環境でのFixpack/Hotfixのインストール方法をご案内しています。
チェックポイントです：
- Patching Tool
  /opt/liferay/patching-tool/lib/patching-tool.jar (log4j-api 2.3)
  /opt/liferay/patching-tool/lib/patching-tool.jar (log4j-core 2.3)
  Patching Toolは最新版でお願いします
  Patching Tool 3.0.31
  Patching Tool 2.0.16
- ElasticSearch
  /opt/liferay/elasticsearch7/lib/log4j-core-2.11.1.jar (log4j-core 2.11.1)
  ElasticSearchの最新バージョンに更新
- コア JARs
  /opt/liferay/tomcat/webapps/ROOT/WEB-INF/lib/log4j.jar (log4j 1.2.17)
  /opt/liferay/tomcat/webapps/ROOT/WEB-INF/lib/log4j-extras.jar (log4j-extras 1.2.17)
  log4j.jar の MANIFEST.MF ファイルとそのバージョンは 1.2.17.LIFERAY-PATCHED-1 必要な修正を適用した後に記載されています。 log4j.jarからクラス「JMSAppender」「SocketServer」を取り出し、脆弱性のパッチが適用されていることを再確認する。
- log4j-extras.jar には、脆弱性はありません。