Como todo producto software, Liferay DXP provee recurrentemente actualizaciones de versiones mediante las cuales proporcionan nuevas funcionalidades y servicios. Adicionalmente, y a través de los servicios de suscripción y soporte, es muy importante destacar que también se proporcionas Security Fix Packs para solventar posibles vulnerabilidades de seguridad encontradas en versiones anteriores. Estas cuestiones hacen que, desde Hiberus, recomendemos a nuestros clientes estar actualizados a la versión Enterprise más actual posible así como adquirir los servicios de suscripción y soporte del fabricante.
Desde Liferay se ofrecen dos modalidades de soporte a sus clientes con versión Liferay Enterprise:
- Soporte premium, durante el cual se solucionarán todo tipo de incidencias a través de la distribución de Service Packs, Fix Packs y/o Security Fix Packs.
- Soporte limitado, durante el cual se proporcionan parches acumulativos, incluyendo los Service Packs, Fix Packs y/o Security Fix Packs que, para cada versión concreta, se hayan generado previamente desde soporte Liferay.
A continuación, se muestran las fechas de soporte por versión publicadas por parte de Liferay:
| Producto | Fecha lanzamiento | Fin soporte premium | Fin soporte limitado |
| Liferay Portal 6.0 EE | 10/08/2010 | 10/08/2014 | 10/08/2017 |
| Liferay Portal 6.1 EE | 22/02/2012 | 21/02/2016 | 21/02/2019 |
| Liferay Portal 6.2 EE | 02/12/2013 | 01/12/2017 | 01/12/2020 |
| Liferay DXP 7.0 | 15/06/2016 | 14/06/2020 | 14/06/2023 |
| Liferay DXP 7.1 | 10/07/2018 | 09/07/2022 | 09/07/2025 |
| Liferay DXP 7.2 | 04/06/2019 | 03/06/2023 | 03/06/2026 |
| Liferay DXP 7.3 | 13/10/2020 | 12/10/2024 | 12/10/2027 |
Si tenemos en cuenta la fecha fin del soporte limitado podemos observar como para la versión 6.2 EE ya no se ofrece soporte alguno, por lo que todas aquellas nuevas vulnerabilidades que puedan surgir no serán solucionadas a través del soporte de fabricante Liferay. Por lo tanto, es evidente que no es recomendable utilizar actualmente versiones 6.x EE para nuestra plataforma de portales.
Algo similar nos ocurre con la versión 7.0 DXP. Si disponemos de un portal en esta versión, desde Hiberus consideramos que se debe dar máxima prioridad a la actualización del entorno, puesto que el soporte finaliza próximamente y aún podrían existir vulnerabilidades sin solucionar.
Si nuestro portal está en la versión 7.1 DXP, disponemos de un margen mayor que con la versión anterior (2 años de diferencia). Por ello se considera que la prioridad para la actualización es media, siendo un punto para considerar en un futuro próximo, pues el soporte termina en 2025 y podrían quedar vulnerabilidades sin resolver.
A partir de la versión 7.2 DXP, la actualización puede tener menor prioridad, pues se trata de versiones robustas y estables, además de altamente segura con respecto a las recientes vulnerabilidades. Adicionalmente es una versión en la cual la experiencia de usuario ha sido evolucionada notablemente y se han hecho mejoras importantes, a destacar por ejemplo la utilización de SPA (Single Page App), la creación de fragmentos de página, herramientas de Low-Code, SEO, etc.
Analizando vulnerabilidades
Liferay ofrece un listado de vulnerabilidades detectadas para cada versión en el siguiente enlace, donde podemos analizar si nuestro portal está expuesto a alguna de ellas. Es importante tener esto en cuenta pues cabe la posibilidad de que, aun sabiendo la existencia de una vulnerabilidad, podamos evitar que se llegue al punto crítico y minimizar riesgos, bien mediante desarrollos propios o con actualizaciones de soporte por parte de Liferay.
Tomemos un ejemplo, para que sea más ilustrativo, con la siguiente vulnerabilidad:
- CVE-2021-33326 XSS with the title of a modal window. Se trata de una vulnerabilidad de Cross-site scripting (XSS) en un módulo frontend de Liferay. En este caso:
- Para Liferay DXP el propio fabricante suministró a través de su servicio de soporte un parche para las versiones 7.0, 7.1, 7.2 y 7.3 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33326).
- En el caso de la versión Community Edition (CE), sin soporte de fabricante, las posibles soluciones serían:
- Actualizar a Liferay Portal 7.3 CE GA6 (7.3.5) si la instalación está en versión CE 7.3
- Parchear la instalación si estás en Liferay Portal 7.2 GA2 (7.2.1)
- Si tu instalación estuviera en versiones 7.1 o 7.0, no estaría disponible la solución, y se debería actualizar a versiones más recientes.
En otras ocasiones, hay vulnerabilidades que son imposibles de eludir en nuestro desarrollo, por lo que, si esta vulnerabilidad provoca una situación crítica, debemos buscar una solución externa para limitar el posible daño que pueda causar el atacante.
Por lo tanto, esto no hace más que evidenciar aún más la importancia de utilizar versiones lo más actuales posibles, y de contratar los servicios de suscripción y soporte de Liferay DXP en sistemas con necesidad de altos requerimientos de seguridad, para minimizar caídas de servicio, pérdida de datos o daños reputacionales.
A resaltar igualmente que Liferay sigue las listas OWASP Top 10 y CWE / SANS Top 25 para certificar que Liferay DXP cumple con todos los requerimientos de seguridad necesarios para proteger a los clientes contra vulnerabilidades y ataques.
Actualizando a Liferay DXP
Si ya hemos tomado la decisión de acometer una actualización de versión a Liferay DXP, tendremos las ventajas de poder contar con los servicios de soporte por parte del fabricante para corrección de vulnerabilidades, actualización a nuevas funcionalidades propias de las nuevas versiones, mejora de funcionalidades existentes, mejoras de rendimiento, acceso a documentación oficial, actualizaciones de frameworks asociados a Liferay DXP como Bootstrap, JQuery, librerías de terceros, etc. entre otras muchas.
Desde la amplia experiencia de Hiberus en proyectos de actualizaciones y migraciones de versiones de Liferay, resaltamos algunos retos a afrontar en esta tipología de proyectos:
- Actualización de interfaz gráfico: los cambios más notorios en toda actualización son aquellos que afectan al aspecto visual, por lo que tendremos que revisar dependencias que afecten a nuestro desarrollo, así como hojas de estilos y plantillas de visualización generadas.
- Actualización de fragmentos de página y características de segmentación: son quizás unos de los elementos que más actualizaciones sufren. Esto hace que debamos analizar las referencias internas en busca de modificaciones.
- Actualización de desarrollos propios: es frecuente que Liferay DXP modifique internamente su API, por lo que tendremos que actualizar aquellas referencias al mismo. Además, el uso de service builders también hará necesaria una actualización, pues pueden incluirse nuevas funcionalidades internas, lo que implica (en algunas ocasiones) una nueva construcción de dicho servicio. Otro aspecto importante sería la actualización de taglibs.
- Actualización del stack tecnológico: importante actualizar las versiones del software de infraestructura de base a las últimas versiones soportadas según la matriz de compatiblidad oficial de Liferay para cada versión.
- Migración de datos: se recomienda dedicar esfuerzo previo a la depuración de los datos (versiones antiguas, información obsoleta, enlaces rotos, documentos antiguos, etc…) que facilite posteriormente la ejecución de los procesos automáticos de migración de datos que ofrece la versión Liferay DXP.
En Hiberus somos Platinum Partners de Liferay y contamos con años de experiencia desarrollando y explotando al máximo las capacidades que ofrece la plataforma. Por esa razón, desde Hiberus te ayudamos a implantar las soluciones de Liferay más óptimas según tu proyecto y te acompañamos durante todo el proceso de cambio. Además, si quieres conocer algunos de nuestros casos de éxito de Liferay, puedes ver cómo lo hemos hecho para clientes como Gobierno de Aragón, Viajes El Corte Inglés o Walgreens Boots Alliance.
¿Quieres más información sobre nuestros servicios de Liferay?
Contacta con nuestro equipo de Liferay
