Support Policy Knowledge Base
- AWSクラウドサービスサポートポリシー
- Digital Experience Platform 7.0 非推奨・アーカイブ項目
- Digital Experience Platform 7.1 非推奨およびアーカイブアイテム
- Digital Experience Platform 7.2におけるオーディエンスターゲティングについて
- Digital Experience Platform 7.2 の NTLM モジュール
- Digital Experience Platform 7.2 非推奨・アーカイブ項目
- Digital Experience Platform 7.3 の非推奨アイテムとアーカイブ済みアイテム
- Glassfishサポートポリシー
- IBM DB2データベースサポートポリシー
- IBM JDKサポートポリシー
- Internet Explorerサポートポリシー
- Java TCK認定OpenJDKバイナリ
- JBoss サポートポリシー
- JDK7の懸念事項
- JDK認証、Java TCK準拠、Liferayの場合
- LDAPサポートポリシー
- Liferay Docker イメージのセキュリティポリシー
- Liferay Documentum Connector for Digital Experience Platform 7.1」。
- Liferay DXP 2023.Q3 and DXP 2023.Q4 Transitional Support Coverage
- Liferay DXP 7.0 フィックスパック リリース
- Liferay DXP 7.2でのGoogle認証の削除
- Liferay DXP 7.2でのOpenIDの削除
- Liferay DXP 7.2でポートレットを検索する
- Liferay DXPとElasticsearch Service on Elastic Cloudの互換性
- Liferay Web Proxy Module for Digital Experience Platform 7.1」。
- LiferayとAmazon S3のSigV2非推奨のお知らせ
- Liferayのセキュリティ対策
- Liferayの公開リポジトリからアーカイブされたモジュールをインストールする
- Liferay ソーシャルネットワーキング for デジタルエクスペリエンスプラットフォーム 7.1
- Linux(全般)オペレーティングシステムのサポートポリシー
- Microsoft Azure Cloud Services サポートポリシー
- Microsoft Edge の互換性
- Microsoft SQL Serverデータベースのサポートポリシー
- MySQLデータベースサポートポリシー
- Oracle JDKサポートポリシー
- Oracle JRockit JDKサポートポリシー
- Oracleデータベース サポートポリシー
- PostgreSQL データベースサポートポリシー
- Quarterly Release Transitional Support Coverage
- Red Hat Enterpriseオペレーティングシステムのサポートポリシー
- SAMLサポートポリシー
- Solarisオペレーティングシステムサポートポリシー
- SSO(全般)ポリシー
- Tomcat サポートポリシー
- WebDAVサポートポリシー
- WebLogicサポートポリシー
- WebSphereサポートポリシー
- Wildfly サポートポリシー
- Xuggler サポート ポリシー
- サードパーティの有料アプリのアクティベーション サポート ポリシー
- デジタルエクスペリエンスプラットフォーム用ブックマークモジュール
- ドキュメントサムネイルとプレビュー サポートポリシー
- ドキュメント・リポジトリー支援方針
- ドキュメント変換支援方針
- モバイルデバイスサポートポリシー
- ローリングリスタート - 重要な変更点
- 資源輸入業者
- 重大インシデントコンタクトのロール
Liferay Docker イメージのセキュリティポリシー
DockerHub上のイメージ
このセキュリティポリシーは、LiferayベースのDockerイメージ、およびDocker Hubで公開されているLiferay DXPのDockerイメージに適用されます。
イメージタグに関する注意:LiferayのDockerイメージタグの命名規則については、Liferay DXP Docker Image Tagsをご参照ください。
脆弱性の検出と分類
Liferayは脆弱性を特定し追跡するために、National Vulnerability Database を参照しています。それぞれの脆弱性にはCVSS 3の基本スコアが設定されており、以下の表に基づいて重大度に換算されます。
なし |
0.0 |
低 |
0.1-3.9 |
中 |
4.0-6.9 |
高 |
7.0-8.9 |
クリティカル |
9.0-10.0 |
詳細については、NVD - Vulnerability Metrics (nist.gov) をご参照ください。
注:Liferay は、未加工の CVSS スコアが別のレベルを示している場合でも、脆弱性の性質やその他の要因に基づいて最終的な重大度を上げたり下げたりする権利を有します。
脆弱性が適切な重大度レベルにマッピングされると、さらに次の3つのカテゴリのいずれかに分類されます。
OS: Linux - この脆弱性は、DockerイメージのLinuxオペレーティングシステムに存在します。
サーブレットコンテナー: Tomcat - 脆弱性は、DockerイメージのTomcatサーブレットコンテナー内にあります。
製品: Liferay DXP - イメージ上で実行されるLiferay DXP 製品自体に脆弱性があります。
Linuxのセキュリティポリシー
Liferayは、DockerイメージのLinux OSとしてUbuntuを使用しています。 公開される各Dockerイメージには、その時点で利用可能なUbuntuのセキュリティアップデートがすべて含まれています。 新しい脆弱性が確認された場合、Liferayは問題の重大度に基づいてセキュリティアップデートを追加します。
低〜中の重大度
重要度が「低」から「中」の脆弱性は、Dockerイメージで使用されている現在のUbuntuのディストリビューションに対するパッチの利用可能性に基づいて修正されます。
修正の可否は、Ubuntu のセキュリティサイトにて、指定されたCVE (例: CVE-2021-4034 | Ubuntu)について確認することができます。
パッチが利用可能になったら、Liferayサポートに連絡して、問題のDXPイメージのリビルドバージョンをリクエストし、セキュリティフィックで更新してください。
高〜クリティカルの重大度
重要度が「高」から「クリティカル」の脆弱性は、Liferay のセキュリティチームが自動的に検出します。 修正プログラムが利用可能になると、影響を受けるすべてのイメージはリビルドされ、イメージタグに新しいタイムスタンプを付けてDocker Hubに公開されます。
Tomcatのセキュリティポリシー
Tomcatの脆弱性の修正が利用可能になると、Liferayは問題の重大度に基づいて新しいTomcatのリリースに更新します。私たちは、クリティカル、高、中の修正に優先順位をつけます。
このプロセスでは、Liferay DXPが新しいバージョンで問題なく動作することを確認するためのQAテストが必要です。テスト中に何らかのエラーが発生した場合、そのエラーに対処する間、アップグレードは一時停止され、その時点でアップグレードプロセスが再開されます。
すべてのテストに合格したら、新しいTomcatのバージョンは、影響を受けるバージョンの Liferay DXP の次のリリースに適用されます。影響を受ける各バージョンのアップデートを含む新しいDockerイメージが公開される予定です。
Liferay DXPのセキュリティポリシー
Liferay DXP 製品自体のセキュリティ脆弱性については、以下のポリシーに基づいて対応します。