事象
セキュリティスキャンにより、LiferayにSharepointエンドポイントの潜在的な脆弱性があると表示される場合があります。具体的には、セキュリティスキャンの警告は /_vti_inf.html ファイルに関連している可能性があります。 LiferayがSharePointサーバーではないと考えると、これは誤検知であることがわかります。
指標
- セキュリティスキャンは、_vti_inf.html ファイルに関連するLiferayのセキュリティ問題を識別します。
- http://localhost:8080/_vti_inf.html にアクセスすると、次のようなページが表示されます。
-
<!-- FrontPage Configuration Information
FPVersion="6.0.2.9999"
FPShtmlScriptUrl="_vti_bin/shtml.dll/_vti_rpc"
FPAuthorScriptUrl="_vti_bin/_vti_aut/author.dll"
FPAdminScriptUrl="_vti_bin/_vti_adm/admin.dll"
TPScriptUrl="_vti_bin/owssvr.dll"
-->
-
解決
これは必ずしもセキュリティ上のリスクではないため、このファイルへのアクセスをブロックする場合は、次の手順を実行できます。
-
DXP 7.4 の場合:DXP の
shielded-container-web.xmlから、Sharepoint Servlet の次のエントリを削除するか、コメント アウトします。
DXP 7.4 より前のバージョンの場合:DXP の web.xmlから、Sharepoint Servlet の次のエントリを削除するか、コメント アウトします。-
<servlet>
<servlet-name>Sharepoint Servlet</servlet-name>
<servlet-class>com.liferay.portal.sharepoint.SharepointServlet</servlet-class>
<load-on-startup>1</load-on-startup>
</servlet> -
<servlet-mapping>
<servlet-name>Sharepoint Servlet</servlet-name>
<url-pattern>/_vti_inf.html</url-pattern>
</servlet-mapping>
<servlet-mapping>
<servlet-name>Sharepoint Servlet</servlet-name>
<url-pattern>/_vti_bin/shtml.dll/_vti_rpc</url-pattern>
</servlet-mapping>
<servlet-mapping>
<servlet-name>Sharepoint Servlet</servlet-name>
<url-pattern>/sharepoint/_vti_bin/_vti_aut/author.dll</url- pattern>
</servlet-mapping>
<servlet-mapping>
<servlet-name>Sharepoint Servlet</servlet-name>
<url-pattern>/sharepoint/_vti_bin/owssvr.dll</url-pattern>
</servlet-mapping>
-
- portal-ext.properties から com.liferay.portal.sharepoint.SharepointFilter=false に設定します。
注: patching-toolでhotfix/fixpackを実行することで、上記設定が初期化される可能性がありますのでご注意ください。