この勧告は、最近、Liferay Portal 7.0.4 に Server-Side Request Forgery (SSRF) の脆弱性 が存在する可能性があると公表されたことを受けてのものです。 報告書は、本製品の ブログ機能 のピングバック機能に対する脆弱性の認識について述べています。
ブログのピンバック については、Wikipediaに詳しい説明があります。
この記事の目的は、潜在的な影響範囲と関連するリスクについて、より詳細に説明することです。
対象製品
- Liferay Digital Experience Platform 7.0
- Liferay Portal 6.1および6.2 EE
脆弱性情報
今回の脆弱性は、エンタープライズ版にも搭載されているブログのピングバック機能のみに適用されます。 なお、他の製品におけるXML-RPCの脆弱性を示すものではありません。 /xmlrpc/* のエンドポイントから実行できるXML-RPCメソッドの登録が明示されています。 本脆弱性は、pingbackリクエスト実行時に付加されるコメントにURLが添付される可能性があることを特定するものです。 このチャンネルで実行可能なコマンドは、ブログのピンバック機能のみです(Out-of-of-B)。 ユーザーが任意のリモートコード実行を行う方法はありません。
解決策
詳しくは、 LSV 391: Security Vulnerability をご覧ください。
ワークアラウンド
ここで重要なのは、ブログのピンバックは、明示的に匿名ユーザーがブログにコメントを追加することを許可していることです。 この機能をブログで使用したくない場合は、 portal.properties に、ピンバックを明示的に無効にする設定があります。 具体的には、 portal-ext.propertiesの blogs.pingbacks.enabled=false の値を設定してください。