Security
- [LES] Log4jエクスプロイト(CVE-2021-44228)に対するElasticの対応について
- 12/16 Log4j の脆弱性 CVE-2021-4104, CVE-2021-44228, CVE-2021-45046 に関する Liferay の更新情報。
- 12/18 Log4j CVE-2021-45105に関するLiferayのアップデートについて
- ClamAV HFS+ セキュリティアドバイザリ: CVE-2023-20032
- CVE-2021-44228 (Log4jの脆弱性)に関するLiferayのステートメント
- CVE-2024-3094、xz バージョン 5.6.0 および 5.6.1 に関する Elastic セキュリティ声明
- DXPクラウドセキュリティアラート:2019年6月
- DXPクラウドセキュリティアラート:2020年3月
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2020 年 10 月 22 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2020 年 6 月 4 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2020 年 8 月 5 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2020 年 9 月 2 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 1 月 15 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 3 月 9 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 4 月 28 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 4 月 7 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 6 月 2 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 7 月 12 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 7 月 23 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 8 月 23 日
- Elasticsearch および Liferay Enterprise Search のセキュリティアドバイザリです。2021年12月11日 (Log4j2, CVE-2021-44228, CVE-2021-45046,CVE-2021-45105)
- Elasticsearch および Liferay Enterprise Search のセキュリティアドバイザリー:2019年10月
- Elasticsearch および Liferay Enterprise Search のセキュリティアドバイザリー:2019年2月
- Elasticsearch および Liferay Enterprise Search のセキュリティアドバイザリー:2020年1月16日
- Elasticsearch および Liferay Enterprise Search のセキュリティアドバイザリー:2020年3月
- ElasticsearchおよびLiferay Enterprise Search セキュリティアドバイザリ: 2018年11月
- ElasticsearchおよびLiferayエンタープライズ検索セキュリティアドバイザリ:2021年9月2日
- ElasticsearchとLiferay Enterprise Searchのセキュリティアドバイザリ。2021年11月12日
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2022-23711
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-12539
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-12556, CVE-2024-52974, CVE-2024-52980, CVE-2024-52981
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-23445, CVE-2024-37279, CVE-2024-37280, CVE-2024-23442, CVE-2024-23443, CVE-2024-2887, CVE-2024-37281, CVE-2024-37287, CVE-2024-23444
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-23450
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-37285, CVE-2024-37288
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-43706, CVE-2025-2135, CVE-2025-25012 (Kibana)
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-43709, CVE-2024-52973, CVE-2024-43710, CVE-2024-43707, CVE-2024-52972, CVE-2024-43708
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2025-25012
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2025-25014, CVE-2024-52979, CVE-2024-11390, CVE-2025-25016
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ: OpenSSL CVE-2022-3786 および CVE-2022-3602 に対するセキュリティステートメント、OpenSSL バージョン 3.0.7 について
- Elastic StackおよびLiferay Enterprise Searchのセキュリティアドバイザリ: Oracle 7月の重要なパッチアップデートCVE-2022-21540, CVE-2022-21541, CVE-2022-21549, CVE-2022-25647, CVE-2022-34169 に対するセキュリティステートメント。
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ。CVE-2022-1364
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ。CVE-2022-23707
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ。CVE-2022-23708, CVE-2022-23709, CVE-2022-23710
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ。CVE-2022-23713
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ。CVE-2022-38779
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ。CVE-2022-38900
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ:CVE-2023-31414, CVE-2023-31415, CVE-2023-26486, CVE-2023-26487
- Elastic Stack および Liferay Enterprise Search のセキュリティ勧告:CVE-2023-46671, CVE-2023-46673
- Elastic Stack および Liferay Enterprise Search のセキュリティ勧告:CVE-2023-46675, CVE-2023-49921
- Elastic Stack および Liferay Enterprise Search のセキュリティ勧告:CVE-2024-23446、CVE-2023-7024
- Elastic Stack および Liferay Enterprise Search セキュリティ勧告:CVE-2023-1370
- Elastic Stack および Liferay Enterprise Search セキュリティ勧告:CVE-2023-31417
- Elastic Stack および Liferay Enterprise Search セキュリティ勧告:CVE-2024-23449
- Elastic StackとLiferay Enterprise Searchのセキュリティ勧告:CVE-2022-1471に関するセキュリティ声明
- Elastic Stack と Liferay Enterprise Search のセキュリティ勧告:CVE-2023-31418、CVE-2023-31419、CVE-2023-31422
- Jenkins セキュリティアドバイザリ 2024-01-24: CVE-2024-23897
- Liferay Enterprise Search サポートアラート:2019年6月24日までにアクションが必要です。
- Liferay Security Alert: 2022 April
- Liferay Security Alert for Liferay DXP
- Liferay’s Statement about recent Log4j vulnerabilities
- Liferay エンタープライズサーチ サポートアラート:2020年4月1日
- LiferayサービスおよびWebサイトでのインバウンドトラフィックのTLS 1.0無効化について
- Liferayサービス及びWebサイトでのインバウンドトラフィックのTLS 1.0無効化について
- Liferay セキュリティアラート: 2018年12月
- Liferay セキュリティアラート: 2019年11月
- Liferayセキュリティアラート: 2019年6月
- Liferay セキュリティ アラート: 2020 年 7 月
- Liferay セキュリティ アラート: 2021 年 4 月
- Liferayセキュリティアラート:2019年10月
- Liferay セキュリティアラート:2020年2月
- Liferayセキュリティアラート:2020年3月
- Liferayセキュリティアラート:2020年5月
- Liferay セキュリティーアラート: 2018年8月
- Liferay セキュリティーアラート: 2019年1月
- Log4j セキュリティアドバイザリの更新
- LSV-412 および LSV-545 のフォローアップ セキュリティ アラート
- Spring4Shell and Spring Cloud Security Advisory
- 【延期のお知らせ】 Liferayサービス及びWebサイトでのインバウンドトラフィックのTLS 1.0無効化について
- リマインダー: LSV-412 および LSV-545 のフォローアップ セキュリティ アラート
Elastic Stack と Liferay Enterprise Search のセキュリティ勧告:CVE-2023-31418、CVE-2023-31419、CVE-2023-31422
以下の問題がLiferay-Elasticスタックに影響する可能性があります。
脆弱性情報
Elasticsearch の制御不能なリソース消費 (ESA-2023-13)
ElasticsearchがHTTPレイヤーで受信リクエストを処理する方法に問題があることが確認されました。 認証されていないユーザが、不正なHTTPリクエストを大量に送信することで、Elasticsearchノードを強制的にOutOfMemoryエラーで終了させることができます。
この問題はElastic Engineeringによって特定されたものであり、この問題が知られている、あるいは野放しで悪用されているという兆候はありません。
影響を受けるバージョン:
Elasticsearch 7.17.12まで、8.0.0から8.8.2までのバージョン
Elastic Cloud Enterpriseのバージョン2.13.3および3.6.0までは、影響を受けるバージョンのElasticsearchシステムクラスタを含みます。
解決策と緩和策:
Elasticsearch バージョン 7.17.13 および 8.9.0 以降にアップグレードしてください。
Elastic Cloud Enterprise バージョン 2.13.4 および 3.6.1 にアップグレードしてください。
CVSSv3.1: 7.5(高) AV:N/AC:L/PR:N/UI:N/
CVE ID CVE-2023-31418
Elasticsearch StackOverflow の脆弱性 (ESA-2023-14)
Elasticsearch サーバに、 _search API に影響する欠陥が発見されました。この欠陥により、特別に細工されたクエリ文字列がスタックオーバーフローを引き起こし、最終的にはサービス拒否を引き起こす可能性があります。
影響を受けるバージョン:
Elasticsearchのバージョン7.0.0から7.17.12まで、および8.0.0から8.9.0まで
解決策と緩和策:
この問題はElasticsearch 7.17.13および8.9.1で解決されています。
CVSSv3: 6.5 (Medium) - AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
CVE ID: CVE-2023-31419
Kibana による機密情報のログファイルへの挿入 (ESA-2023-17)
9月14日、Elastic社のエンジニアが、エラー発生時に認証情報がKibanaログに記録される問題を発見しました。 この問題は、JSONレイアウトでログを記録する場合、または%metaパターンをログに記録するようにパターンレイアウトが設定されている場合、Kibanaバージョン8.10.0のみに影響します。
9月18日、Elastic社はこの問題を解決したKibana 8.10.1をリリースした。 ECE または ECK デプロイメントを含む、セルフマネージド Kibana 8.10.0 を実行しているお客様は、直ちに Kibana 8.10.1 にアップグレードしてください。 8.10.0のElastic Cloud CustomersのKibanaインスタンスには、この問題を解決するパッチがすでに適用されています。
ログに記録されるエラーオブジェクトにはリクエスト情報が含まれ、認証情報、クッキー、認可ヘッダー、クエリパラメータ、リクエストパス、その他のメタデータなどのデータを含むことができる。 ログに含めることができるデータの例としては、kibana_system、kibana-metricbeat、またはKibanaエンドユーザのアカウント認証情報があります。
影響を受けるバージョン
Kibana バージョン 8.10.0
解決策と緩和策
この問題はKibana 8.10.1で解決されている。 バージョン8.10.0はダウンロードサイトから削除されました。
Elastic Cloud
8.10.0のElastic Cloud CustomersのKibanaインスタンスには、この問題を解決するパッチが適用されています。
注: 8.10.0 にアップグレードし、 Logging and Monitoring を有効にした場合、Logging and Monitoring 配置に資格情報が記録される可能性があります。 ESA-2023-17 のガイダンスに従って、Kibana ログに取り込まれたクレデンシャルをチェックし、ログからデータをパージしたり、公開された可能性のあるクレデンシャルをローテーションしたりするなどのフォローアップ措置を実行することをお勧めします。
Elastic社は以下の追加緩和を行いました:
インジェスト・プロセッサーを導入し、監視環境に記録される前に、対象フィールドを再編集している。
インジェスト・プロセッサーを導入する前に、ログに認証情報が含まれる可能性のある情報を監視環境から削除しました。
Elastic CloudのすべてのKibana 8.10.0デプロイメントに対して、kibana_systemとkibana-metricbeatのアカウント認証情報を自動的にローテーションしています。
この問題が発生している間、ロギング環境へのアクセスを確認しましたが、不正な行為は確認されませんでした。
ECE または ECK デプロイメントを含め、Kibana 8.10.0 をセルフマネージドで実行しているユーザーは、直ちに Kibana 8.10.1 にアップグレードしてください。 影響を受ける可能性のあるログ( )について、認証データをレビュ ーし、必要と判断される場合は、ログからデータをパージし、公開される可能性のある認証情報をローテートす るなどのフォローアップ・アクションを実行しなければならない。
詳細および緩和措置については、 ESA-2023-17 を参照のこと。
Kibana ヒープバッファオーバーフローの脆弱性 (ESA-2023-19)
2023 年 9 月 11 日、Google Chrome は CVE-2023-4863を発表しました。「116.0.5845.187 以前の Google Chrome および libwebp 1.3.2 の libwebp におけるヒープバッファオーバーフローにより、リモートの攻撃者が細工した HTML ページを介して境界外のメモリ書き込みを実行する可能性がある」と説明されています。 Kibanaには、Kibanaのレポート機能にのみ使用されるヘッドレスChromiumがバンドルされており、この脆弱性の影響を受ける。 Kibanaに対する悪用は確認されていないが、解決策として、このリリースではバンドルされているバージョンのChromiumが更新されている。
この問題は、Chromiumサンドボックスが無効になっているホスト オペレーティングシステム(CentOS、Debian、RHELのみ)上のオンプレミスのKibanaインストールに影響します。
この問題は、ドキュメントで推奨されているようにChromiumサンドボックスが明示的に無効化されている場合に、Kibana Dockerイメージを使用して実行されているKibanaインスタンスに影響します。 seccomp-bpfによって、コンテナ脱出などのさらなる悪用が防止される。
この問題はElastic Cloud上で動作するKibanaインスタンスに影響するが、RCEはKibana Dockerコンテナ内に限定される。 コンテナ脱出などのさらなる悪用は、seccomp-bpfとAppArmorプロファイルによって阻止される。
この問題は Elastic Cloud Enterprise (ECE) 上で実行されている Kibana インスタンスに影響しますが、RCE は Kibana Docker コンテナ内に制限されています。 コンテナ脱出などのさらなる悪用は、seccomp-bpfとAppArmorプロファイルによって阻止される。
この問題は Elastic Cloud on Kubernetes (ECK) 上で動作する Kibana インスタンスに影響するが、RCE は Kibana Docker コンテナ内に限定される。 コンテナエスケープなどのさらなる悪用は、seccomp-bpfが設定されサポートされている場合(Kubernetes v1.19以降)、防ぐことができる。
影響を受けるバージョン
Kibana バージョン 7.0.0 から 7.17.14 および Kibana バージョン 8.0.0 から 8.10.3
解決策と緩和策
ユーザーはバージョン8.10.3または7.17.14にアップグレードしてください。
アップグレードできない場合は、kibana.ymlファイルで以下の設定を行うことで、Kibanaのレポート機能を完全に無効にすることができます:
xpack.reporting.enabled: false
CVSSv3: 9.9 (重要) CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
追加情報
Liferay 7.3と7.4のTomcatバンドルと開発およびローカルテストに適したDockerイメージに含まれるSidecar Elasticsearchサーバーのバージョンは、 LPS-195830で利用可能な最新の7.17.xバージョンに更新されます。 バンドルされているElasticsearchサーバーは、開発やテストには便利ですが、本番には適していませんし、サポートされていないことに注意してください。
検索エンジンの互換性
通常通り、Liferayはお客様にElasticスタックを最新の7.x/8.xにアップグレードすることを推奨しています。 R互換性のあるコネクタのバージョンや必要なアップデート/パッチレベルなど、Elasticsearchの詳細な互換性については、こちらの情報 をご参照ください。
ソース
https://discuss.elastic.co/t/elasticsearch-8-9-1-7-17-13-security-update/343297
https://discuss.elastic.co/t/elasticsearch-8-9-0-7-17-13-security-update/343616
https://discuss.elastic.co/t/kibana-8-10-1-security-update/343287
https://discuss.elastic.co/t/kibana-8-10-3-7-17-14-security-update/344735
- Elastic、Elasticsearch、X-Packは、米国で登録されたElasticsearch BVの商標です。 そして他の国々でも。