掲載日2024年2月2日

脆弱性の概要

1月24日、Jenkinsは、クラウドでホストされているLiferay環境に影響を与える重大な脆弱性 CVE-2024-23897 を発表しました。Jenkinsは、Liferay PaaS のお客様が環境にソフトウェアをデプロイするためのソフトウェアをビルドするための継続的インテグレーションツールです。Liferay DXP 製品自体には影響はありません。

懸念点とは？

この脆弱性は、HTTP/WebSocketプロトコルを使用してLiferay CIサービスを攻撃し、お客様のCIサービスにフルアクセスするために使用できます。このサービスはソースコードからお客様のイメージをビルドする役割を果たします。アクセス権を取得することで、攻撃者はCIサービスによってビルドされたお客様のコードを分析できます。さらに、攻撃者は、GitHubコネクタを介して、またはビルド中に悪意のあるコードをお客様のビルドに隠し、継続的な暴露を引き起こす可能性があります。このように悪意を持って変更されたソフトウェアビルドは、無防備なお客様やソーシャル エンジニアリングに騙されたお客様によってクラウド環境にデプロイされる可能性があります。これは間接的にお客様の本番環境への侵害につながる可能性があります。

Liferayはどのような影響を受けるのか？

Liferay PaaSのお客様はこの脆弱性の影響を受けます。Liferayセキュリティインシデントレスポンスチームは、脆弱性のあるコンポーネントへの悪意のあるリクエストをブロックすることで、当面の問題を一時的に緩和しましたが、長期的に保護するためにはJenkinsインスタンスをアップグレードする必要があります (手順については、以下の恒久的な修正セクションをご参照ください)。

Liferay SaaSのお客様は、Liferay SaaSがJenkinsを使用しないため、影響を受けません。

Liferay DXP および Liferay Portal 製品は影響を受けません。オンプレミスのデプロイメントを維持しているお客様は、DXPに関連するアクションを実行する必要はありません。ただし、独自の Jenkins インスタンスをホストしている場合は、Jenkinsをアップグレードすることを強くお勧めします。

Liferay 自体の内部インフラストラクチャは直接的な影響を受けず、アップグレードが行われています。

一時的に影響を緩和させるにはどうすればよいのか?

LiferayはすでにHTTPリクエストをブロックすることで、Liferay PaaSのお客様の当面の脅威を緩和しています。

お客様は、CI 環境の /cli/ws および /cli?remoting=false URLにアクセスして、公開されているかどうかを確認できます (例: https://my-ci-jenkins-url/cli/ws)。ページは、危険性が軽減されたことを示す次の応答を返す必要があります: 403 Forbidden

Liferayによって緩和された既存のJenkinsサービスが削除され、イメージのバージョンを更新せずに再作成された場合は、新しく作成されたサービスに一時的な緩和を適用する必要があります。

Liferay PaaSのお客様が恒久的な修正を適用せずに一時的に危険性を軽減する必要がある状況にある場合は、https://github.com/jenkinsci-cert/SECURITY-3314-3315/ から公式のgroovyスクリプトをciサービスにデプロイするか、修正を適用する準備ができる前にciサービスを一時的に削除します。

恒久的な公式の修正とは？

Jenkins の公式推奨に基づき、Liferay は脆弱なコンポーネントを無効にしたパッチ適用バージョンのciイメージを用意しました: liferaycloud/jenkins:2.356-jdk8-5.2.1. 

お客様は、ciサービスの LCP.json ファイルを変更し、infra環境内にサービスを再デプロイすることでイメージをデプロイできます:

{

  "kind": "StatefulSet",

  "id": "ci",

  "image": "liferaycloud/jenkins:2.356-jdk8-5.2.1",

お問い合わせ

詳細については、Liferayサポート までお問い合わせください。