Security
- [LES] Log4jエクスプロイト(CVE-2021-44228)に対するElasticの対応について
- 12/16 Log4j の脆弱性 CVE-2021-4104, CVE-2021-44228, CVE-2021-45046 に関する Liferay の更新情報。
- 12/18 Log4j CVE-2021-45105に関するLiferayのアップデートについて
- ClamAV HFS+ セキュリティアドバイザリ: CVE-2023-20032
- CVE-2021-44228 (Log4jの脆弱性)に関するLiferayのステートメント
- CVE-2024-3094、xz バージョン 5.6.0 および 5.6.1 に関する Elastic セキュリティ声明
- DXPクラウドセキュリティアラート:2019年6月
- DXPクラウドセキュリティアラート:2020年3月
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2020 年 10 月 22 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2020 年 6 月 4 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2020 年 8 月 5 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2020 年 9 月 2 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 1 月 15 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 3 月 9 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 4 月 28 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 4 月 7 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 6 月 2 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 7 月 12 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 7 月 23 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 8 月 23 日
- Elasticsearch および Liferay Enterprise Search のセキュリティアドバイザリです。2021年12月11日 (Log4j2, CVE-2021-44228, CVE-2021-45046,CVE-2021-45105)
- Elasticsearch および Liferay Enterprise Search のセキュリティアドバイザリー:2019年10月
- Elasticsearch および Liferay Enterprise Search のセキュリティアドバイザリー:2019年2月
- Elasticsearch および Liferay Enterprise Search のセキュリティアドバイザリー:2020年1月16日
- Elasticsearch および Liferay Enterprise Search のセキュリティアドバイザリー:2020年3月
- ElasticsearchおよびLiferay Enterprise Search セキュリティアドバイザリ: 2018年11月
- ElasticsearchおよびLiferayエンタープライズ検索セキュリティアドバイザリ:2021年9月2日
- ElasticsearchとLiferay Enterprise Searchのセキュリティアドバイザリ。2021年11月12日
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2022-23711
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-12539
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-12556, CVE-2024-52974, CVE-2024-52980, CVE-2024-52981
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-23445, CVE-2024-37279, CVE-2024-37280, CVE-2024-23442, CVE-2024-23443, CVE-2024-2887, CVE-2024-37281, CVE-2024-37287, CVE-2024-23444
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-23450
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-37285, CVE-2024-37288
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-43706, CVE-2025-2135, CVE-2025-25012 (Kibana)
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-43709, CVE-2024-52973, CVE-2024-43710, CVE-2024-43707, CVE-2024-52972, CVE-2024-43708
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2025-25012
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2025-25014, CVE-2024-52979, CVE-2024-11390, CVE-2025-25016
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ: OpenSSL CVE-2022-3786 および CVE-2022-3602 に対するセキュリティステートメント、OpenSSL バージョン 3.0.7 について
- Elastic StackおよびLiferay Enterprise Searchのセキュリティアドバイザリ: Oracle 7月の重要なパッチアップデートCVE-2022-21540, CVE-2022-21541, CVE-2022-21549, CVE-2022-25647, CVE-2022-34169 に対するセキュリティステートメント。
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ。CVE-2022-1364
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ。CVE-2022-23707
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ。CVE-2022-23708, CVE-2022-23709, CVE-2022-23710
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ。CVE-2022-23713
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ。CVE-2022-38779
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ。CVE-2022-38900
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ:CVE-2023-31414, CVE-2023-31415, CVE-2023-26486, CVE-2023-26487
- Elastic Stack および Liferay Enterprise Search のセキュリティ勧告:CVE-2023-46671, CVE-2023-46673
- Elastic Stack および Liferay Enterprise Search のセキュリティ勧告:CVE-2023-46675, CVE-2023-49921
- Elastic Stack および Liferay Enterprise Search のセキュリティ勧告:CVE-2024-23446、CVE-2023-7024
- Elastic Stack および Liferay Enterprise Search セキュリティ勧告:CVE-2023-1370
- Elastic Stack および Liferay Enterprise Search セキュリティ勧告:CVE-2023-31417
- Elastic Stack および Liferay Enterprise Search セキュリティ勧告:CVE-2024-23449
- Elastic StackとLiferay Enterprise Searchのセキュリティ勧告:CVE-2022-1471に関するセキュリティ声明
- Elastic Stack と Liferay Enterprise Search のセキュリティ勧告:CVE-2023-31418、CVE-2023-31419、CVE-2023-31422
- Jenkins セキュリティアドバイザリ 2024-01-24: CVE-2024-23897
- Liferay Enterprise Search サポートアラート:2019年6月24日までにアクションが必要です。
- Liferay Security Alert: 2022 April
- Liferay Security Alert for Liferay DXP
- Liferay’s Statement about recent Log4j vulnerabilities
- Liferay エンタープライズサーチ サポートアラート:2020年4月1日
- LiferayサービスおよびWebサイトでのインバウンドトラフィックのTLS 1.0無効化について
- Liferayサービス及びWebサイトでのインバウンドトラフィックのTLS 1.0無効化について
- Liferay セキュリティアラート: 2018年12月
- Liferay セキュリティアラート: 2019年11月
- Liferayセキュリティアラート: 2019年6月
- Liferay セキュリティ アラート: 2020 年 7 月
- Liferay セキュリティ アラート: 2021 年 4 月
- Liferayセキュリティアラート:2019年10月
- Liferay セキュリティアラート:2020年2月
- Liferayセキュリティアラート:2020年3月
- Liferayセキュリティアラート:2020年5月
- Liferay セキュリティーアラート: 2018年8月
- Liferay セキュリティーアラート: 2019年1月
- Log4j セキュリティアドバイザリの更新
- LSV-412 および LSV-545 のフォローアップ セキュリティ アラート
- Spring4Shell and Spring Cloud Security Advisory
- 【延期のお知らせ】 Liferayサービス及びWebサイトでのインバウンドトラフィックのTLS 1.0無効化について
- リマインダー: LSV-412 および LSV-545 のフォローアップ セキュリティ アラート
Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ。CVE-2022-23708, CVE-2022-23709, CVE-2022-23710
以下の問題は、Liferay DXP、Liferay Enterprise Search環境、およびElastic Stackの機能に影響を与える可能性があります。
影響を受ける可能性のあるデプロイメント
- Elasticsearch 7.16.0-7.17.0
- Kibana 7.7.0-7.17.0
脆弱性情報
Elasticsearch の権限昇格の問題 (ESA-2022-02)
Elasticsearch 7.17.0 のアップグレードアシスタントに、バージョン 6.x から 7.x へのアップグレードを行うと、セキュリティインデックスに対する内蔵の保護機能が無効になり、「*」インデックスパーミッションを持つ認証済みユーザがこのインデックスにアクセスできるようになるという欠陥が発見されました。
影響を受けるバージョン:
バージョン7.16.0から7.17.0まで。
解決策と緩和策:
6.x からアップグレードされたクラスタを使用しているユーザーは、7.17.1 にアップグレードする必要があります。 6.x からのアップグレードを計画しているユーザーは、バージョン 7.16 から 7.17.0 へのアップグレードは行わず、6.x からのアップグレードには 7.17.1+ を使用すべきです。
CVSSv3:
6.8 (中) - AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
CVE ID:
CVE-2022-23708
Kibanaの認証欠落の問題 (ESA-2022-03)
Kibanaに、Uptime機能へのReadアクセス権を持つユーザーが警告ルールを変更できる不具合が発見されました。 この権限を持つユーザーは、新しい警告ルールを作成したり、既存のルールを上書きしたりすることができるようになります。 しかし、新規または修正されたルールは有効にならず、この権限を持つユーザーは警告コネクタを修正することはできません。 これは、Read user が既存の警告ルールを無効化できることを意味します。
影響を受けるバージョン:
バージョン 7.7.0 から 7.17.0 および 8.0.0
解決策と緩和策:
この問題は、7.17.1、8.01、および 8.1.0 で修正されています。
この問題を緩和するために、影響を受けるバージョンのユーザーは、アラートの作成/変更ができないようにする必要がある場合、Uptime 機能への読み取り権限をユーザーに付与しないようにし、組み込みの Viewer ロールを使用しないようにすることができます。
CVSSv3:
4.3 (中) - AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CVE ID:
CVE-2022-23709
Kibana のクロスサイトスクリプティング (XSS) の問題 (ESA-2022-04)
データプレビューペイン(旧名:インデックスパターンプレビューペイン)にクロスサイトスクリプティング(XSS)の脆弱性が発見され、被害者のブラウザで任意のJavaScriptを実行される可能性がありました。
影響を受けるバージョン:
Elastic Cloud Services では、バージョン 7.15.0 から 7.17.0 まで、および 8.0.0 に影響します。
解決策と対策:
7.17.1, 8.0.1, 8.1.0 で修正されました。
インデックスパターン管理機能および保存オブジェクト管理機能に対するすべてのユーザーのアクセス権を、インデックスパターンの作成/変更ができないようにすることで、影響を受けるバージョンのユーザーが緩和されます。 注:インデックスパターンは8.0からデータビューと呼ばれるようになりました。
CVSSv3:
5.4 (中) - AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:L/A:N
CVE ID:
CVE-2022-23710
追加情報
Liferay DXP の Sidecar Elasticsearch サーバー(ローカルでの開発とテスト目的にのみ適しています!)は影響を受けません。なぜなら、既存の Sidecar インストールは( Elasticsearch Upgradeの意味で)直接アップグレードされません:代わりに、常に [Liferay Home]/elasticsearch-sidecar (DXP 7. 4) に新鮮で新しい配布物が抽出されるからです。4) または [Liferay Home]/elasticsearch7 (DXP 7.3) Sidecar Elasticsearch サーバーのバージョンをアップグレードするたびに(例えば 7.14.1 から 7.17.0)、または Liferay DXP が Sidecar モードを使用しランタイムフォルダを存在させない設定になっているときに、新しいディストリビューションを展開します。 さらに、Sidecar Elasticsearchサーバーは、X-Pack Securityの機能を無効にして動作するようにプログラムで設定されているため、セキュリティインデックスを作成することができません。
検索エンジン適合性マトリクス
Elasticsearch 7.17.xが対応バージョンに追加されました。 対応するコネクタのバージョンや必要なパッチレベルなど、詳細なElasticsearchの互換性については、こちらの情報 を参照してください。
ベンダーのリファレンス
https://discuss.elastic.co/t/elastic-stack-7-17-1-security-update/298447
Elastic、Elasticsearch、X-Packは、米国で登録されたElasticsearch BVの商標です。 をはじめ、さまざまな国で