Security
- [LES] Log4jエクスプロイト(CVE-2021-44228)に対するElasticの対応について
- 12/16 Log4j の脆弱性 CVE-2021-4104, CVE-2021-44228, CVE-2021-45046 に関する Liferay の更新情報。
- 12/18 Log4j CVE-2021-45105に関するLiferayのアップデートについて
- ClamAV HFS+ セキュリティアドバイザリ: CVE-2023-20032
- CVE-2021-44228 (Log4jの脆弱性)に関するLiferayのステートメント
- CVE-2024-3094、xz バージョン 5.6.0 および 5.6.1 に関する Elastic セキュリティ声明
- DXPクラウドセキュリティアラート:2019年6月
- DXPクラウドセキュリティアラート:2020年3月
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2020 年 10 月 22 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2020 年 6 月 4 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2020 年 8 月 5 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2020 年 9 月 2 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 1 月 15 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 3 月 9 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 4 月 28 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 4 月 7 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 6 月 2 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 7 月 12 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 7 月 23 日
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 8 月 23 日
- Elasticsearch および Liferay Enterprise Search のセキュリティアドバイザリです。2021年12月11日 (Log4j2, CVE-2021-44228, CVE-2021-45046,CVE-2021-45105)
- Elasticsearch および Liferay Enterprise Search のセキュリティアドバイザリー:2019年10月
- Elasticsearch および Liferay Enterprise Search のセキュリティアドバイザリー:2019年2月
- Elasticsearch および Liferay Enterprise Search のセキュリティアドバイザリー:2020年1月16日
- Elasticsearch および Liferay Enterprise Search のセキュリティアドバイザリー:2020年3月
- ElasticsearchおよびLiferay Enterprise Search セキュリティアドバイザリ: 2018年11月
- ElasticsearchおよびLiferayエンタープライズ検索セキュリティアドバイザリ:2021年9月2日
- ElasticsearchとLiferay Enterprise Searchのセキュリティアドバイザリ。2021年11月12日
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2022-23711
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-12539
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-12556, CVE-2024-52974, CVE-2024-52980, CVE-2024-52981
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-23445, CVE-2024-37279, CVE-2024-37280, CVE-2024-23442, CVE-2024-23443, CVE-2024-2887, CVE-2024-37281, CVE-2024-37287, CVE-2024-23444
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-23450
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-37285, CVE-2024-37288
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-43706, CVE-2025-2135, CVE-2025-25012 (Kibana)
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2024-43709, CVE-2024-52973, CVE-2024-43710, CVE-2024-43707, CVE-2024-52972, CVE-2024-43708
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2025-25009, CVE-2025-25017, CVE-2025-25018, CVE-2025-37727
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2025-25012
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2025-25014, CVE-2024-52979, CVE-2024-11390, CVE-2025-25016
- Elastic Stack and Liferay Enterprise Search Security Advisory: CVE-2025-54988 and Elastic's Response to ‘EDR 0-Day Vulnerability’
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ: OpenSSL CVE-2022-3786 および CVE-2022-3602 に対するセキュリティステートメント、OpenSSL バージョン 3.0.7 について
- Elastic StackおよびLiferay Enterprise Searchのセキュリティアドバイザリ: Oracle 7月の重要なパッチアップデートCVE-2022-21540, CVE-2022-21541, CVE-2022-21549, CVE-2022-25647, CVE-2022-34169 に対するセキュリティステートメント。
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ。CVE-2022-1364
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ。CVE-2022-23707
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ。CVE-2022-23708, CVE-2022-23709, CVE-2022-23710
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ。CVE-2022-23713
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ。CVE-2022-38779
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ。CVE-2022-38900
- Elastic Stack および Liferay Enterprise Search のセキュリティアドバイザリ:CVE-2023-31414, CVE-2023-31415, CVE-2023-26486, CVE-2023-26487
- Elastic Stack および Liferay Enterprise Search のセキュリティ勧告:CVE-2023-46671, CVE-2023-46673
- Elastic Stack および Liferay Enterprise Search のセキュリティ勧告:CVE-2023-46675, CVE-2023-49921
- Elastic Stack および Liferay Enterprise Search のセキュリティ勧告:CVE-2024-23446、CVE-2023-7024
- Elastic Stack および Liferay Enterprise Search セキュリティ勧告:CVE-2023-1370
- Elastic Stack および Liferay Enterprise Search セキュリティ勧告:CVE-2023-31417
- Elastic Stack および Liferay Enterprise Search セキュリティ勧告:CVE-2024-23449
- Elastic StackとLiferay Enterprise Searchのセキュリティ勧告:CVE-2022-1471に関するセキュリティ声明
- Elastic Stack と Liferay Enterprise Search のセキュリティ勧告:CVE-2023-31418、CVE-2023-31419、CVE-2023-31422
- Jenkins セキュリティアドバイザリ 2024-01-24: CVE-2024-23897
- Liferay Enterprise Search サポートアラート:2019年6月24日までにアクションが必要です。
- Liferay Security Alert: 2022 April
- Liferay Security Alert for Liferay DXP
- Liferay’s Statement about recent Log4j vulnerabilities
- Liferay エンタープライズサーチ サポートアラート:2020年4月1日
- LiferayサービスおよびWebサイトでのインバウンドトラフィックのTLS 1.0無効化について
- Liferayサービス及びWebサイトでのインバウンドトラフィックのTLS 1.0無効化について
- Liferay セキュリティアラート: 2018年12月
- Liferay セキュリティアラート: 2019年11月
- Liferayセキュリティアラート: 2019年6月
- Liferay セキュリティ アラート: 2020 年 7 月
- Liferay セキュリティ アラート: 2021 年 4 月
- Liferayセキュリティアラート:2019年10月
- Liferay セキュリティアラート:2020年2月
- Liferayセキュリティアラート:2020年3月
- Liferayセキュリティアラート:2020年5月
- Liferay セキュリティーアラート: 2018年8月
- Liferay セキュリティーアラート: 2019年1月
- Log4j セキュリティアドバイザリの更新
- LSV-412 および LSV-545 のフォローアップ セキュリティ アラート
- Spring4Shell and Spring Cloud Security Advisory
- 【延期のお知らせ】 Liferayサービス及びWebサイトでのインバウンドトラフィックのTLS 1.0無効化について
- リマインダー: LSV-412 および LSV-545 のフォローアップ セキュリティ アラート
Jenkins セキュリティアドバイザリ 2024-01-24: CVE-2024-23897
掲載日2024年2月2日
脆弱性の概要
1月24日、Jenkinsは、クラウドでホストされているLiferay環境に影響を与える重大な脆弱性 CVE-2024-23897 を発表しました。Jenkinsは、Liferay PaaS のお客様が環境にソフトウェアをデプロイするためのソフトウェアをビルドするための継続的インテグレーションツールです。Liferay DXP 製品自体には影響はありません。
懸念点とは?
この脆弱性は、HTTP/WebSocketプロトコルを使用してLiferay CIサービスを攻撃し、お客様のCIサービスにフルアクセスするために使用できます。このサービスはソースコードからお客様のイメージをビルドする役割を果たします。アクセス権を取得することで、攻撃者はCIサービスによってビルドされたお客様のコードを分析できます。さらに、攻撃者は、GitHubコネクタを介して、またはビルド中に悪意のあるコードをお客様のビルドに隠し、継続的な暴露を引き起こす可能性があります。このように悪意を持って変更されたソフトウェアビルドは、無防備なお客様やソーシャル エンジニアリングに騙されたお客様によってクラウド環境にデプロイされる可能性があります。これは間接的にお客様の本番環境への侵害につながる可能性があります。
Liferayはどのような影響を受けるのか?
Liferay PaaSのお客様はこの脆弱性の影響を受けます。Liferayセキュリティインシデントレスポンスチームは、脆弱性のあるコンポーネントへの悪意のあるリクエストをブロックすることで、当面の問題を一時的に緩和しましたが、長期的に保護するためにはJenkinsインスタンスをアップグレードする必要があります (手順については、以下の恒久的な修正セクションをご参照ください)。
Liferay SaaSのお客様は、Liferay SaaSがJenkinsを使用しないため、影響を受けません。
Liferay DXP および Liferay Portal 製品は影響を受けません。オンプレミスのデプロイメントを維持しているお客様は、DXPに関連するアクションを実行する必要はありません。ただし、独自の Jenkins インスタンスをホストしている場合は、Jenkinsをアップグレードすることを強くお勧めします。
Liferay 自体の内部インフラストラクチャは直接的な影響を受けず、アップグレードが行われています。
一時的に影響を緩和させるにはどうすればよいのか?
LiferayはすでにHTTPリクエストをブロックすることで、Liferay PaaSのお客様の当面の脅威を緩和しています。
お客様は、CI 環境の /cli/ws および /cli?remoting=false URLにアクセスして、公開されているかどうかを確認できます (例: https://my-ci-jenkins-url/cli/ws)。ページは、危険性が軽減されたことを示す次の応答を返す必要があります: 403 Forbidden
Liferayによって緩和された既存のJenkinsサービスが削除され、イメージのバージョンを更新せずに再作成された場合は、新しく作成されたサービスに一時的な緩和を適用する必要があります。
Liferay PaaSのお客様が恒久的な修正を適用せずに一時的に危険性を軽減する必要がある状況にある場合は、https://github.com/jenkinsci-cert/SECURITY-3314-3315/ から公式のgroovyスクリプトをciサービスにデプロイするか、修正を適用する準備ができる前にciサービスを一時的に削除します。
恒久的な公式の修正とは?
Jenkins の公式推奨に基づき、Liferay は脆弱なコンポーネントを無効にしたパッチ適用バージョンのciイメージを用意しました: liferaycloud/jenkins:2.356-jdk8-5.2.1.
お客様は、ciサービスの LCP.json ファイルを変更し、infra環境内にサービスを再デプロイすることでイメージをデプロイできます:
{
"kind": "StatefulSet",
"id": "ci",
"image": "liferaycloud/jenkins:2.356-jdk8-5.2.1",
お問い合わせ
詳細については、Liferayサポート までお問い合わせください。