新しいLiferayカスタマーポータルエクスペリエンスへようこそ!
新しいカスタマーポータルとサポートチケットエクスペリエンスへの移行が完了しました。ホームページとトップメニューを参照し、利用可能なすべてのツールとリソースをご確認ください。なお、以下の点にご注意ください。
進行中のリクエスト:移行前に進行中だったサポートチケットは、ホームページまたはサポートのドロップダウンメニューから[My Tickets(マイチケット)]をクリックすると確認できます。
新規のサポートリクエスト:新しいサポートリクエストを作成するには、ホームページまたはサポートドロップダウンメニューから[Submit a Ticket(チケットの送信)]をクリックしてください。
新システムでLiferayサポートに問題を報告する際に問題が発生した場合は、support.liferay.com/callback-requestまでご連絡ください。

Security

検索バー
Security Alert に戻る

Liferay エンタープライズサーチ サポートアラート:2020年4月1日

このコンテンツは、Liferay Enterprise Search(LES)サブスクリプションが有効なお客様が閲覧できます。

公開日:2020年4月2日

次の問題は、Liferay DXPおよびエンタープライズ検索環境の機能に影響を与える可能性があります。この通知は、Liferay Enterprise Searchサブスクライバーの最新の互換性変更と必要なアクションの説明を提供します。

影響を受ける可能性のある製品

  • Elastic Stack 6.7または7.x以降のLiferay DXP 7.0、7.1、および7.2

脆弱性情報

(ベンダーによって提供されます。)

Elasticsearch認証APIキーの権限昇格(ESA-2020-02)

攻撃者がAPIキーを作成できる場合、バージョン6.7.0から6.8.7および7.0.0から7.6.1のElasticsearchバージョンに権限昇格の欠陥が含まれます。APIキーを生成できる攻撃者は、一連のステップを実行して、昇格された特権でAPIキーを生成させることができます。

影響を受けるバージョン
6.7.0から6.8.7および7.0.0から7.6.1までのすべてのバージョンがこの問題の影響を受けます。

ソリューションと軽減策
ユーザーはElasticsearchバージョン7.6.2または6.8.8にアップグレードする必要があります。アップグレードできないユーザー、elasticsearch.ymlファイルで xpack.security.authc.api_key.enabledをfalseに設定してAPIキーを無効にすることにより、この欠陥を軽減できます。

CVE ID:CVE-2020-7009

検索エンジン互換性マトリックス

互換コネクタのバージョンや必要なパッチレベルなど、Elasticsearchの詳細な互換性については、こちらの情報 を参照してください

ベンダーリファレンス

https://discuss.elastic.co/t/elastic-stack-6-8-8-and-7-6-2-security-update/225920

https://www.elastic.co/guide/en/elasticsearch/reference/current/release-notes-7.6.2.html
https://www.elastic.co/guide/en/kibana/current/release-notes -7.6.2.html

https://www.elastic.co/guide/en/elasticsearch/reference/6.8/release-notes-6.8.8.html
https://www.elastic.co/guide/en/kibana/6.8/release-notes -6.8.8.html

On this page
© 2025 Liferay Inc. All Rights Reserved         |
Cookie ポリシー