Security
- [LES] Log4jエクスプロイト(CVE-2021-44228)に対するElasticの対応について
- 12/16 Log4j の脆弱性 CVE-2021-4104, CVE-2021-44228, CVE-2021-45046 に関する Liferay の更新情報。
- 12/18 Log4j CVE-2021-45105に関するLiferayのアップデートについて
- ClamAV HFS+ セキュリティアドバイザリ: CVE-2023-20032
- CVE-2021-44228 (Log4jの脆弱性)に関するLiferayのステートメント
- CVE-2024-3094、xz バージョン 5.6.0 および 5.6.1 に関する Elastic セキュリティ声明
- DXPクラウドセキュリティアラート:2019年6月
- DXPクラウドセキュリティアラート:2020年3月
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2020 年 10 月 22 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2020 年 6 月 4 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2020 年 8 月 5 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2020 年 9 月 2 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 1 月 15 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 3 月 9 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 4 月 28 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 4 月 7 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 6 月 2 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 7 月 12 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 7 月 23 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 8 月 23 日
- Elasticsearch および Liferay Enterprise Search のセキュリティアドバイザリです。2021年12月11日 (Log4j2, CVE-2021-44228, CVE-2021-45046,CVE-2021-45105)
- Elasticsearch および Liferay Enterprise Search のセキュリティアドバイザリー:2019年10月
- Elasticsearch および Liferay Enterprise Search のセキュリティアドバイザリー:2019年2月
- Elasticsearch および Liferay Enterprise Search のセキュリティアドバイザリー:2020年1月16日
- Elasticsearch および Liferay Enterprise Search のセキュリティアドバイザリー:2020年3月
- ElasticsearchおよびLiferay Enterprise Search セキュリティアドバイザリ: 2018年11月
- ElasticsearchおよびLiferayエンタープライズ検索セキュリティアドバイザリ:2021年9月2日
- ElasticsearchとLiferay Enterprise Searchのセキュリティアドバイザリ。2021年11月12日
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2022-23711
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-12539
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-12556, CVE-2024-52974, CVE-2024-52980, CVE-2024-52981
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-23445, CVE-2024-37279, CVE-2024-37280, CVE-2024-23442, CVE-2024-23443, CVE-2024-2887, CVE-2024-37281, CVE-2024-37287, CVE-2024-23444
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-23450
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-37285, CVE-2024-37288
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-43706, CVE-2025-2135, CVE-2025-25012 (Kibana)
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-43709, CVE-2024-52973, CVE-2024-43710, CVE-2024-43707, CVE-2024-52972, CVE-2024-43708
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2025-25012
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2025-25014, CVE-2024-52979, CVE-2024-11390, CVE-2025-25016
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ: OpenSSL CVE-2022-3786 および CVE-2022-3602 に対するセキュリティステートメント、OpenSSL バージョン 3.0.7 について
- Elastic StackおよびLiferay Enterprise Searchのセキュリティアドバイザリ: Oracle 7月の重要なパッチアップデートCVE-2022-21540, CVE-2022-21541, CVE-2022-21549, CVE-2022-25647, CVE-2022-34169 に対するセキュリティステートメント。
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ。CVE-2022-1364
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ。CVE-2022-23707
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ。CVE-2022-23708, CVE-2022-23709, CVE-2022-23710
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ。CVE-2022-23713
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ。CVE-2022-38779
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ。CVE-2022-38900
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ:CVE-2023-31414, CVE-2023-31415, CVE-2023-26486, CVE-2023-26487
- Elastic Stack および Liferay Enterprise Search のセキュリティ勧告:CVE-2023-46671, CVE-2023-46673
- Elastic Stack および Liferay Enterprise Search のセキュリティ勧告:CVE-2023-46675, CVE-2023-49921
- Elastic Stack および Liferay Enterprise Search のセキュリティ勧告:CVE-2024-23446、CVE-2023-7024
- Elastic Stack および Liferay Enterprise Search セキュリティ勧告:CVE-2023-1370
- Elastic Stack および Liferay Enterprise Search セキュリティ勧告:CVE-2023-31417
- Elastic Stack および Liferay Enterprise Search セキュリティ勧告:CVE-2024-23449
- Elastic StackとLiferay Enterprise Searchのセキュリティ勧告:CVE-2022-1471に関するセキュリティ声明
- Elastic Stack と Liferay Enterprise Search のセキュリティ勧告:CVE-2023-31418、CVE-2023-31419、CVE-2023-31422
- Jenkins セキュリティアドバイザリ 2024-01-24: CVE-2024-23897
- Liferay Enterprise Search サポートアラート:2019年6月24日までにアクションが必要です。
- Liferay Security Alert: 2022 April
- Liferay Security Alert for Liferay DXP
- Liferay’s Statement about recent Log4j vulnerabilities
- Liferay エンタープライズサーチ サポートアラート:2020年4月1日
- LiferayサービスおよびWebサイトでのインバウンドトラフィックのTLS 1.0無効化について
- Liferayサービス及びWebサイトでのインバウンドトラフィックのTLS 1.0無効化について
- Liferay セキュリティアラート: 2018年12月
- Liferay セキュリティアラート: 2019年11月
- Liferayセキュリティアラート: 2019年6月
- Liferay セキュリティ アラート: 2020 年 7 月
- Liferay セキュリティ アラート: 2021 年 4 月
- Liferayセキュリティアラート:2019年10月
- Liferay セキュリティアラート:2020年2月
- Liferayセキュリティアラート:2020年3月
- Liferayセキュリティアラート:2020年5月
- Liferay セキュリティーアラート: 2018年8月
- Liferay セキュリティーアラート: 2019年1月
- Log4j セキュリティアドバイザリの更新
- LSV-412 および LSV-545 のフォローアップ セキュリティ アラート
- Spring4Shell and Spring Cloud Security Advisory
- 【延期のお知らせ】 Liferayサービス及びWebサイトでのインバウンドトラフィックのTLS 1.0無効化について
- リマインダー: LSV-412 および LSV-545 のフォローアップ セキュリティ アラート
Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2020 年 6 月 4 日
投稿日:2020年6月4日発行
次の問題は、Liferay DXP および Enterprise Search 環境の機能に影響を与える可能性があります。 この通知は、Liferay Enterprise Search サブスクライバーに最新の互換性変更と必要なアクションの説明を提供します。
影響を受ける可能性のある展開
- Elastic Stack 6.7 または 7.x 以降の Liferay DXP 7.0、7.1、および 7.2。
脆弱性情報
(ベンダーから提供されたとおりです。)
Kibana アップグレード アシスタント プロトタイプ汚染の欠陥 (ESA-2020-05)
6.7.0 から 6.8.8 および 7.0.0 から 7.6.2 の間の Kibana バージョンには、アップグレード アシスタントにプロトタイプ汚染の欠陥が含まれています。 Kibana インデックスへの書き込み権限を持つ認証済みの攻撃者は、Kibana に任意のコードを実行させるデータを挿入する可能性があります。 これにより、攻撃者がホスト システムで Kibana プロセスのアクセス許可を使用してコードを実行する可能性があります。
影響を受けるバージョン
6.7.0 から 6.8.8 および 7.0.0 から 7.6.2 のすべてのバージョンの Kibana
解決策と緩和策
ユーザーは Kibana バージョン 7.7.0 または 6.8.9 にアップグレードする必要があります。 アップグレードできないユーザーは、以下の手順を使用してアップグレード アシスタントを無効にすることができます。
Upgrade Assistant は、Kibana で次のオプションを設定することで無効にできます。
Kibana バージョン 6.7.0 および 6.7.1 では、kibana.yml ファイルで「upgrade_assistant.enabled: false」を設定できます
6.7.2 以降の Kibana バージョンでは、kibana.yml ファイルで「xpack.upgrade_assistant.enabled: false」を設定できます
この欠陥は、Elastic Cloud Kibana のすべてのバージョンでデフォルトで軽減されています。
CVSSv3: 6.6 - AV:A/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H
CVE ID: CVE-2020-7012
Kibana TSVB プロトタイプ汚染の欠陥 (ESA-2020-06)
6.8.9 および 7.7.0 より前の Kibana バージョンには、TSVB にプロトタイプ汚染の欠陥が含まれています。 TSVB ビジュアライゼーションを作成する権限を持つ認証済みの攻撃者は、Kibana に任意のコードを実行させるデータを挿入する可能性があります。 これにより、攻撃者がホスト システムで Kibana プロセスのアクセス許可を使用してコードを実行する可能性があります。
影響を受けるバージョン
7.7.0 および 6.8.9 より前のすべてのバージョンの Kibana
解決策と緩和策
ユーザーは Kibana バージョン 7.7.0 または 6.8.9 にアップグレードする必要があります。 アップグレードできないユーザーは、kibana.yml ファイルで「metrics.enabled: false」を設定して TSVB を無効にすることができます。
この欠陥は、Elastic Cloud Kibana のすべてのバージョンでデフォルトで軽減されています。
CVSSv3: 6.6 - AV:A/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H
CVE ID: CVE-2020-7013
Kibana クロス サイト スクリプティング (XSS) の問題 (ESA-2020-08)
Kibana の TSVB ビジュアライゼーションには、保存された XSS の欠陥が含まれています。 TSVB ビジュアライゼーションを編集または作成できる攻撃者は、TSVB ビジュアライゼーションを編集する Kibana ユーザーに代わって機密情報を取得したり、破壊的なアクションを実行したりする可能性があります。
影響を受けるバージョン
5.4.0 以降のすべてのバージョンの Kibana がこの欠陥の影響を受けます
解決策と緩和策
ユーザーは Kibana バージョン 7.7.1 または 6.8.10 にアップグレードする必要があります。 アップグレードできないユーザーは、kibana.yml ファイルで「metrics.enabled: false」を設定して TSVB を無効にすることができます。
CVSSv3: 6.7 - AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:L
CVE ID: CVE-2020-7015
Elasticsearch 認証 API キーの権限昇格 (ESA-2020-07)
ESA-2020-02 (CVE-2020-7009) の修正は不完全であることが判明しました。
バージョン 6.7.0 から 6.8.7 および 7.0.0 から 7.6.1 の Elasticsearch には、攻撃者が API キーと認証トークンを作成できる場合、権限昇格の欠陥が含まれます。 API キーと認証トークンを生成できる攻撃者は、昇格された権限で認証トークンが生成される一連の手順を実行できます。
影響を受けるバージョン
6.7.0 から 6.8.8 および 7.0.0 から 7.6.2 のすべてのバージョンが、この問題に対して脆弱です。
解決策と軽減策
ユーザーは、Elasticsearch バージョン 7.7.0 または 6.8.9 にアップグレードする必要があります。 アップグレードできないユーザーは、elasticsearch.yml ファイルで「xpack.security.authc.api_key.enabled」を false に設定して API キーを無効にすることで、この問題を軽減できます。
CVSSv3: 6.4 - AV:A/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
CVE ID: CVE-2020-7014
緩和に関するその他の注意事項
Liferay の Elasticsearch および Enterprise Search コネクタは、そのままでは API キーを使用していません。
検索エンジンの互換性マトリックス
互換性のあるコネクタのバージョンや必要なパッチ レベルなど、Elasticsearch の互換性の詳細については、 here の情報を参照してください。
ベンダー リファレンス
- https://discuss.elastic.co/t/elastic-stack-6-8-9-and-7-7-0-security-update/235571/1
- https://discuss.elastic.co/t/elastic-stack-7-7-1-and-6-8-10-security-update/235573/1
- https://www.elastic.co/guide/en/elasticsearch/reference/6.8/release-notes-6.8.10.html
- https://www.elastic.co/guide/en/elasticsearch/reference/7.7/release-notes-7.7.1.html
Elastic、Elasticsearch、および X-Pack は、米国で登録された Elasticsearch BV の商標です。 そして他の国で。