Security
- Elastic Stack and Liferay Enterprise Search [LES] Security Advisories
- Liferayのセキュリティ脆弱性の概要
-
Security Alert
- 12/16 Log4j の脆弱性 CVE-2021-4104, CVE-2021-44228, CVE-2021-45046 に関する Liferay の更新情報。
- 12/18 Log4j CVE-2021-45105に関するLiferayのアップデートについて
- ClamAV HFS+ セキュリティアドバイザリ: CVE-2023-20032
- DXPクラウドセキュリティアラート:2020年3月
- Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2020 年 8 月 5 日
- Elasticsearch および Liferay Enterprise Search のセキュリティアドバイザリー:2019年2月
- ElasticsearchおよびLiferay Enterprise Search セキュリティアドバイザリ: 2018年11月
- Jenkins セキュリティアドバイザリ 2024-01-24: CVE-2024-23897
- Liferay Enterprise Search サポートアラート:2019年6月24日までにアクションが必要です。
- Liferay Security Alert: 2022 April
- Liferay Security Alert for Liferay DXP
- Liferay セキュリティアラート: 2018年12月
- Liferay セキュリティアラート: 2019年11月
- Liferay セキュリティ アラート: 2020 年 7 月
- Liferay セキュリティアラート:2020年2月
- Liferayセキュリティアラート:2020年3月
- Liferayセキュリティアラート:2020年5月
- Liferay セキュリティーアラート: 2018年8月
- Liferay セキュリティーアラート: 2019年1月
- LSV-412 および LSV-545 のフォローアップ セキュリティ アラート
Liferayのセキュリティ脆弱性の概要
背景
ライフレイはエンタープライズ級の品質と機能だけではなく、セキュリティを備えたソフトウェアを提供し続けることをお約束します。ITスタックに導入するソフトウェアにおけるセキュリティ上の脆弱性は、企業として最重要の懸念事項です。
この懸念事項に取り組むためには、オープンソースコミュニティによる開発モデルが、最良の方法であり、リソースが得られると思っています。この開発モデルでは、世界中のコミュニティ開発者にアクセス権を与え、バグや脆弱性を発見し解決してもらいます。またサブスクリプションのお客様のために、セキュリティ関連の問題を素早く発見し取り組むよう、ライフレイ内部で設定したポリシーやプロセスもあります。
まず、Liferayは業界標準や、AES、3-DES、RSAなど高度なアルゴリズムなど含む政府レベルで利用されている暗号化テクノロジーを採用しています。また、Liferayは堅牢なユーザ管理と、セキュリティ機能をデフォルトで備えています。セキュリティ機能には、パスワードポリシー、パスワードリマインダーの設定、ログインの時のセキュリティ手順、機密情報にアクセスするためのセキュリティ層設定などが含まれます。
更に、ライフレイはクラックチームといわれるセキュリティのエキスパートを利用し、定期的にホワイトハットを行ないセキュリティを評価しています。これは、お客様にできるだけセキュリティの脆弱性が無いソフトウェアを提供するためにおこなっています。
ライフレイは、独立したセキュリティ研究者が重要なことも認識しています。製品における脆弱性が合った場合、積極的に報告してもらうことを推奨しています。脆弱性を報告する場合、以下を参考にしてください。
セキュリティ問題の報告
多くのオープンソース・プロジェクトと同様に、ライフレイは「責任ある情報開示(Responsible Disclosure)」を信条としています。これは、セキュリティの脆弱性にあるバグを発見し報告した場合、公に詳細を開示する前に、弊社による確認と解決をする時間を与えてもらえると思っています。
ライフレイに脆弱性を知らせるには、ヘルプセンターでチケットを作成できます。(アクセス権のある方)
セキュリティ脆弱性の可能性がある場合、責任ある情報開示では以下のことは絶対行なわないでください。
- 脆弱性を利用した悪用の可能性について発表
- 脆弱性の詳細をLiferayコミュニティフォーラム、ブログのコメント、または他の公のサイトで公表
- コミュニティ・セキュリティチームより修正がリリースされる前に、脆弱性について個別に公表
ライフレイのセキュリティポリシー
ライフレイは、報告された弊社のソフトウェア製品に関するセキュリティー問題を、以下のようなポリシーに沿って対応します。
最初の報告
ライフレイにはさまざまな方法でセキュリティの脆弱性について報告が上がってきます。例えば、JIRAやHelp Centerのチケットを通したり、ソーシャルメディア、外部ブログ、そして内部での発見があります。脆弱性の可能性が発見または報告された72時間以内に、まずライフレイとして提供された情報を元に再現を試みます。脆弱性が再現でき、既存のチケットで報告されていなければ、プライベートチケット(パブリックではないもの)が作成されます。このチケットは下のような重大度に振り分けられ、脆弱性の詳細はチケット内に記載されます。
トリアージと分類
セキュリティの脆弱性は、さまざまな要因をベースに重大度が分類されます。一番重要な要因は、Liferay全般に対してのリスクがあるかどうかです。
- 重要度1(SEV-1): 一番重要度が高く、脆弱性により全システムにアクセスできる可能性があり、システムのリソースまでのアクセス、データの破損や変更、またはアタッカーによる勝手なコードの実行を可能にしてしまいます。
- 重要度2(SEV-2): この重要度では、脆弱性による全システムアクセスはありません。しかし、サービスレベルやシステムの信頼度に影響を与えたり、Liferay以外のシステムにも影響を与える可能性があります。この場合、「サービスの妨害」の脆弱性や関連した脆弱性を含みます。
- 重要度3(SEV-3): 重要度が一番低いこのレベルは、クロスサイト・スクリプティング、権限問題、情報漏えい等を含んだ脆弱性に使われます。
パッチの入手とお知らせ
- 重要度1または2:セキュリティパッチが厳しいテストを通ってリリースできるようになった際、脆弱性の詳細、回避策の可能性、パッチの指示や他の修正方法が、セキュリティの掲示板およびCustomer Portalを通じてお知らせします。これらの修正方法は、Customer Portalの既知の脆弱性ページより入手できます。
- 重要度3: 重要度3であるセキュリティ脆弱性の修正は、問題があるバージョンのFix Packで修正されます。これらの修正は、Customer Portalでのお知らせの際に、ハイライトされます。
開示に関してのポリシー
「責任のある開示」の原則に従って、ライフレイは全お客様向けたCustomer PortalのSecurity Vulnerabilityページ および、 CVE ID( 2020年5月以降、 重要度1、2の脆弱性にCVE IDが付与されます)とCVSS (v3.0)スコアとVector String(2019年以降)を含むリリースノート(LPE)チケットに記載されたセキュリティの脆弱性に関する詳細以上のものを公開することはありません。これはご導入いただいているLiferayのセキュリティだけでなく、他のLiferayをお使いいただいているお客様のセキュリティを踏まえてのことです。
特に個別のお客様へ、セキュリティの脆弱性の再現方法や、修正やパッチに関しての前情報を提供することはありません。ライフレイとして、既存のお客様に更なるリスクや危害を与えると独自で判断したセキュリティの脆弱性に関する情報を開示しない権利を保有します。これらのポリシーは、ライフレイのお客様やコミュニティ全てを守り、ライフレイとコミュニティのセキュリティ・エキスパートにセキュリティの問題に取り組む安全な環境を提供するために、見つかった脆弱性の軽減、制限、そして制御します。