注:Liferay は、Liferay Experience
Could オファリングの名称を次のように変更しました。 Liferay SaaS(旧 LXC) と
Liferay PaaS(旧 LXC-SM)となりました。
問題
- HTTP/2、nginx、および以下のバージョンの tomcat を使用している場合、HTTP/2 ラピッドリセット攻撃 (CVE-2023-44487) を受ける可能性があります。
- 8.5.0から8.5.93まで;
- 9.0.0-M1から9.0.80まで;
- 10.1.0-M1から10.1.13まで。
環境
- Liferay DXP 7.2によるLiferay PaaS。
解像度
- 前回の7.2イメージに付属しているTomcatのバージョンはまだ脆弱で、できるだけ早く更新し、新しいイメージを公開する予定です。 この問題の影響を受けないTomcatのバージョン:8.5.94、9.0.81、10.1.14
- この攻撃を回避するには、ウェブサーバサービス(nginx)に以下の変数を設定します:
- keepalive_requestsデフォルト値を設定 (1000 リクエスト)
- http2_max_concurrent_streamsにデフォルト値 (128 ストリーム) を設定します。
- この問題を軽減するために、以下の変数を調整することもできます。
- limit_conn一つのクライアントからの接続数。 セキュリティとパフォーマンスのバランスを考慮して調整されるべきである。
- limit_req一つのクライアントから処理されるリクエストの数。 セキュリティとパフォーマンスのバランスを考慮して調整されるべきである。
追加情報