問題
- 読み込んだJSファイル内の使用JQueryのバージョンが公開され、情報漏えいの可能性がある。
Environment
- Liferay DXP 7.0+
解決策
-
JQueryでバージョンを隠すのはライセンスに反しており、「Copyrightヘッダーがそのままであれば、他のプロジェクト(商用プロジェクトも含む)でプロジェクトを自由に使用できる」と明示されています。
-
この部分を削除しても、ブラウザのコンソールからバージョン情報を取得するには、 jQuery().jquery または $.fn.jquery または jQuery.fn.jquery **です。
-
攻撃者は、ファイルを比較したり、公開されているLiferayのリポジトリをチェックすることで、ライブラリのバージョンを把握することができます。私たちはオープンソースなので、Githubリポジトリを検査することで、彼らはこの情報を得ようとしています。
-
Liferayでは、セキュリティの脆弱性対策に力を入れており、サードパーティーのライブラリについては、使用しているバージョンで脆弱性が報告された場合、すぐにアップデートするようにしています。
- もし、現在のjQueryやその他のサードパーティライブラリに何らかの脆弱性を検出した場合は、それを解析し、安全なバージョンに更新することができますので、お知らせください。
会員限定記事
Liferay エンタープライズ サブスクリプションをお持ちのお客様は1500件を超えるベストプラクティス、トラブルシューティング、その他のソリューション記事を閲覧できます。ログインすると、記事全体をお読みいただけます。
ログイン