Security

Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ。CVE-2022-23713

These fixes can be issued as a hotfix for Updates

. For all other versions, please open a Help Center ticket and request a hotfix to resolve these security vulnerabilities.

Official releases to resolve all listed vulnerabilities are in progress. These fixes can be issued as a hotfix for previous Updates or Fix Packs upon request. For more information about these vulnerabilities and affected versions, please visit the page.

以下の問題は、Liferay DXP、Liferay Enterprise Search環境、およびElastic Stackの機能に影響を与える可能性があります。

影響を受ける可能性のあるデプロイメント

Kibanaバージョン7.0.0～7.17.4

脆弱性情報

Kibana のクロスサイトスクリプティング (XSS) の問題 (ESA-2022-08)

Vega Charts Kibana の統合にクロスサイトスクリプティング（XSS）の脆弱性が発見され、被害者のブラウザで任意の JavaScript を実行される可能性があります。
影響を受けるバージョン:

バージョン7.0.0～7.17.4、8.0.0～8.2.3

解決策と緩和策:

この問題は、バージョン8.3.0と7.17.5で修正されています。

アップグレードできない場合は、Vegaのビジュアライゼーションを無効にすることを選択することができます。

オンプレミスのインストールの場合、 vis_type_vega.enabled: false (または vega.enabled: false for Kibana versions older than 7.7.0) kibana.yml ファイルで設定することが可能です。

CVSSv3:
6.4 (中) - AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

CVE ID: CVE-2022-23713

検索エンジン適合性マトリクス

対応するコネクタのバージョンや必要なパッチレベルなど、詳細なElasticsearchの互換性については、こちらの情報を参照してください。

ベンダーのリファレンス

https://discuss.elastic.co/t/elastic-8-3-1-8-3-0-and-7-17-5-security-update/308613

Elastic、Elasticsearch、X-Packは、米国で登録されたElasticsearch BVの商標です。をはじめ、さまざまな国で

はじめに

カスタマーポータルのヘルプ

Liferay Learn

ナレッジベース

セキュリティの概要

セキュリティレポート

Release Notes

カスタマーポータルのアップデート

ダウンロード

マイチケット

チケットを作成する

チケットのエスカレーション

サポート範囲

サービスと互換性

お問い合わせ

カスタマーイベント