以下の問題は、Liferay DXP、Liferay Enterprise Search環境、Elastic Stackの機能に影響を与える可能性があります。

脆弱性情報

Elasticsearch 監査ログへの機密情報の挿入 (ESA-2023-12)

Elasticsearchは通常、監査ログに記録する前に機密情報や認証情報をフィルタリングします。 ElasticsearchへのリクエストがAPIの特定の非推奨URIを使用している場合、このフィルタリングが適用されないことが判明しました。 この欠陥の影響は、パスワードやトークンなどの機密情報がElasticsearchの監査ログに平文で出力される可能性があることです。 監査ログはデフォルトでは無効になっており、明示的に有効にする必要がある ことに注意。また、監査ログが有効になっている場合でも、明示的に設定しない 限り、機密情報を含む可能性のあるリクエストボディは監査ログに出力されない ことに注意。

_xpack/security API は Elasticsearch 7.x で非推奨となり、8.0.0 以降では完全に削除されました。 Elasticsearch 8.0.0以降でクライアントがこれらを使用する唯一の方法は、 Accept: application/json; compatible-with=7 ヘッダを提供することです。 Elasticsearch 公式クライアントはこれらの非推奨 API を使用しません。

影響を受ける非推奨APIのリストは以下の通り。

• POST /_xpack/security/user/{username}
• PUT /_xpack/security/user/{username}
• PUT /_xpack/security/user/{username}/_password
• POST /_xpack/security/user/{username}/_password
• PUT /_xpack/security/user/_password
• POST /_xpack/security/user/_password
• POST /_xpack/security/oauth2/token
• DELETE /_xpack/security/oauth2/token
• POST /_xpack/security/saml/authenticate

影響を受けるバージョン

Elasticsearchのバージョン7.0.0から7.17.12まで、8.0.0から8.9.1まで

解決策と緩和策：

この問題はバージョン 7.17.13 および 8.9.2 で解決されました。

CVSSv3.1: 4.1(Medium) AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N
CVE ID: CVE-2023-31417

追加情報

Liferay DXPがElasticsearchのX-Packセキュリティ機能とすぐに統合され、 、検索エンジンとLiferayノード間で暗号化され認証された接続 、 _xpack/security APIを使用してユーザーやOAuth2トークンを管理することはありません。

検索エンジン互換性マトリックス

互換性のあるコネクタのバージョンや必要なパッチレベルなど、Elasticsearchの詳細な互換性については、こちらの情報 をご参照ください。

ソース

https://discuss.elastic.co/t/elasticsearch-8-9-2-and-7-17-13-security-update/342479

---

• Elastic、Elasticsearch、X-Packは、米国で登録されたElasticsearch BVの商標です。 そして他の国々でも。