脆弱性の概要
2023年10月11日、curlは深刻度の高い脆弱性( CVE-2023-38545)を公表した。 この欠陥は、特定のオプションが使用された場合に、SOCKS5プロキシハンドシェイクにおいてcurlがヒープベースのバッファをオーバーフローさせる。
curlは、URL構文でデータを転送するためのコマンドラインツールであり、ライブラリである。
Liferayの影響は?
Liferay DXP
Liferay DXPはこの脆弱性の影響を受けません。 Liferay DXPはlibcurlにバンドルされておらず、Liferay DXPは影響を受けるオプションでcurlを呼び出しません。
Liferay DXP Dockerイメージ
Liferay DXP Docker Imagesには、Ubuntuの一部として含まれている、影響を受けるcurlライブラリが含まれています。 しかし、Liferay DXPやイメージ内のスクリプトは、影響を受けるオプションや環境変数でcurlを呼び出しません。
Liferay LXC-SM
Liferay Cloudコンソールはこの脆弱性の影響を受けません。 しかし、いくつかのイメージは影響を受けている:
- Liferay Docker Imageには、Ubuntuの一部として、影響を受けるcurlライブラリが含まれています。 Liferay DXP またはイメージ内のスクリプトは、影響を受けるオプションや環境変数で curl を呼び出しません。
- nginx イメージには影響を受ける curl ライブラリが含まれています。
Liferay LXC
LIferay LXCはこの脆弱性の影響を受けません。
自分が影響を受けているかどうかは、どうすれば判断できますか?
Liferay Dockerイメージ
Liferay Docker Images d5.0.46
以下には、影響を受けるcurlライブラリが含まれています。
nginx Dockerイメージ
nginx Docker イメージ 1.21.6
以下には affect curl ライブラリが含まれています。
その他のシステム
curl -V
というコマンドを使って、システム上のcurlのバージョンを調べる。 Curlのバージョン7.69.0から8.3.0までが影響を受けます。
この問題の正式な修正はあるのでしょうか?
Liferay Dockerイメージ
Liferayは、最新のUpdateとFix Packに対応したLiferay Dockerイメージの新バージョンをリリースしました。 d5.0.47
バージョンの Liferay Docker イメージ、または 最新の
をご利用ください。
nginx Dockerイメージ
Liferayは、この脆弱性を緩和するために、更新されたnginx Dockerイメージを提供する予定です。
質問
カスタマーサクセスマネージャーに連絡するか、 ヘルプセンターチケットを開いてください。