CVE-2023-38545 curl: SOCKS5 ヒープバッファオーバーフロー

脆弱性の概要

2023年10月11日、curlは深刻度の高い脆弱性( CVE-2023-38545)を公表した。 この欠陥は、特定のオプションが使用された場合に、SOCKS5プロキシハンドシェイクにおいてcurlがヒープベースのバッファをオーバーフローさせる。

curlは、URL構文でデータを転送するためのコマンドラインツールであり、ライブラリである。

Liferayの影響は?

Liferay DXP

Liferay DXPはこの脆弱性の影響を受けません。 Liferay DXPはlibcurlにバンドルされておらず、Liferay DXPは影響を受けるオプションでcurlを呼び出しません。

Liferay DXP Dockerイメージ

Liferay DXP Docker Imagesには、Ubuntuの一部として含まれている、影響を受けるcurlライブラリが含まれています。 しかし、Liferay DXPやイメージ内のスクリプトは、影響を受けるオプションや環境変数でcurlを呼び出しません。

Liferay LXC-SM

Liferay Cloudコンソールはこの脆弱性の影響を受けません。 しかし、いくつかのイメージは影響を受けている:

  • Liferay Docker Imageには、Ubuntuの一部として、影響を受けるcurlライブラリが含まれています。 Liferay DXP またはイメージ内のスクリプトは、影響を受けるオプションや環境変数で curl を呼び出しません。
  • nginx イメージには影響を受ける curl ライブラリが含まれています。

Liferay LXC

LIferay LXCはこの脆弱性の影響を受けません。

自分が影響を受けているかどうかは、どうすれば判断できますか?

Liferay Dockerイメージ

Liferay Docker Images d5.0.46 以下には、影響を受けるcurlライブラリが含まれています。

nginx Dockerイメージ

nginx Docker イメージ 1.21.6 以下には affect curl ライブラリが含まれています。

その他のシステム

curl -V というコマンドを使って、システム上のcurlのバージョンを調べる。 Curlのバージョン7.69.0から8.3.0までが影響を受けます。

この問題の正式な修正はあるのでしょうか?

Liferay Dockerイメージ

Liferayは、最新のUpdateとFix Packに対応したLiferay Dockerイメージの新バージョンをリリースしました。 d5.0.47 バージョンの Liferay Docker イメージ、または 最新のをご利用ください。

nginx Dockerイメージ

Liferayは、この脆弱性を緩和するために、更新されたnginx Dockerイメージを提供する予定です。

質問

カスタマーサクセスマネージャーに連絡するか、 ヘルプセンターチケットを開いてください。

この記事は役に立ちましたか?
1人中1人がこの記事が役に立ったと言っています