CVE-2023-38545 curl: SOCKS5 ヒープバッファオーバーフロー

脆弱性の概要

2023年10月11日、curlは深刻度の高い脆弱性( CVE-2023-38545)を公表した。 この欠陥は、特定のオプションが使用された場合に、SOCKS5プロキシハンドシェイクにおいてcurlがヒープベースのバッファをオーバーフローさせる。

curlは、URL構文でデータを転送するためのコマンドラインツールであり、ライブラリである。

Liferayの影響は?

Liferay DXP

Liferay DXPはこの脆弱性の影響を受けません。 Liferay DXPはlibcurlにバンドルされておらず、Liferay DXPは影響を受けるオプションでcurlを呼び出しません。

Liferay DXP Dockerイメージ

Liferay DXP Docker Imagesには、Ubuntuの一部として含まれている、影響を受けるcurlライブラリが含まれています。 しかし、Liferay DXPやイメージ内のスクリプトは、影響を受けるオプションや環境変数でcurlを呼び出しません。

Liferay LXC-SM

Liferay Cloudコンソールはこの脆弱性の影響を受けません。 しかし、いくつかのイメージは影響を受けている:

  • Liferay Docker Imageには、Ubuntuの一部として、影響を受けるcurlライブラリが含まれています。 Liferay DXP またはイメージ内のスクリプトは、影響を受けるオプションや環境変数で curl を呼び出しません。
  • nginx イメージには影響を受ける curl ライブラリが含まれています。

Liferay LXC

LIferay LXCはこの脆弱性の影響を受けません。

自分が影響を受けているかどうかは、どうすれば判断できますか?

Liferay Dockerイメージ

Liferay Docker Images d5.0.46 以下には、影響を受けるcurlライブラリが含まれています。

nginx Dockerイメージ

nginx Docker イメージ 1.21.6 以下には affect curl ライブラリが含まれています。

その他のシステム

curl -V というコマンドを使って、システム上のcurlのバージョンを調べる。 Curlのバージョン7.69.0から8.3.0までが影響を受けます。

この問題の正式な修正はあるのでしょうか?

Liferay Dockerイメージ

Liferayは、最新のUpdateとFix Packに対応したLiferay Dockerイメージの新バージョンをリリースしました。 d5.0.47 バージョンの Liferay Docker イメージ、または 最新のをご利用ください。

nginx Dockerイメージ

Liferay has made updated nginx Docker images available to mitigate this vulnerability, included in this release. Please use the nginx:1.21.6-5.4.0 image or above.

If using older images, you can install the new curl libraries by updating Alpine. Place the below command your dockerfile for the nginx image:

RUN apk update && apk upgrade

質問

カスタマーサクセスマネージャーに連絡するか、 ヘルプセンターチケットを開いてください。

この記事は役に立ちましたか?
1人中1人がこの記事が役に立ったと言っています