legacy-knowledge-base
公開されました Jun. 30, 2025

Liferay PaaS における HTTP/2 ラピッドリセット攻撃の緩和 (CVE-2023-44487)

written-by

Jorge García Jiménez

How To articles are not official guidelines or officially supported documentation. They are community-contributed content and may not always reflect the latest updates to Liferay DXP. We welcome your feedback to improve How To articles!

While we make every effort to ensure this Knowledge Base is accurate, it may not always reflect the most recent updates or official guidelines.We appreciate your understanding and encourage you to reach out with any feedback or concerns.

legacy-article

learn-legacy-article-disclaimer-text
注:Liferay は、Liferay Experience Could オファリングの名称を次のように変更しました。 Liferay SaaS(旧 LXC) と Liferay PaaS(旧 LXC-SM)となりました。

問題

  • HTTP/2、nginx、および以下のバージョンの tomcat を使用している場合、HTTP/2 ラピッドリセット攻撃 (CVE-2023-44487) を受ける可能性があります。
    • 8.5.0から8.5.93まで;
    • 9.0.0-M1から9.0.80まで;
    • 10.1.0-M1から10.1.13まで。

環境

  • Liferay DXP 7.2によるLiferay PaaS。

解像度

  • 前回の7.2イメージに付属しているTomcatのバージョンはまだ脆弱で、できるだけ早く更新し、新しいイメージを公開する予定です。 この問題の影響を受けないTomcatのバージョン:8.5.94、9.0.81、10.1.14
  • この攻撃を回避するには、ウェブサーバサービス(nginx)に以下の変数を設定します:
  • この問題を軽減するために、以下の変数を調整することもできます。
    • limit_conn一つのクライアントからの接続数。 セキュリティとパフォーマンスのバランスを考慮して調整されるべきである。
    • limit_req一つのクライアントから処理されるリクエストの数。 セキュリティとパフォーマンスのバランスを考慮して調整されるべきである。

追加情報

did-this-article-resolve-your-issue

legacy-knowledge-base