CVE-2018-3831 報告しますと、 「6.4.1または5.6.12以前のバージョンのElasticsearch Alerting and Monitoringには、APIを介して秘密が設定された場合に情報漏洩の問題があります。 Elasticsearch _cluster/settings API をクエリすると、パスワード、トークン、ユーザー名などの機密性の高い設定情報が漏れる可能性があります。 これにより、認証されたElasticsearchユーザーがこれらの詳細を不適切に閲覧できる可能性があります."
Elastic 社は、以下のセキュリティアナウンスでこれらの脆弱性を確認しました: Elastic Stack 6.4.1 および 5.6.12 のセキュリティアップデート.
解像度
Elasticsearch と統合された Liferay 製品(Liferay Connector to Elasticsearch 6、 Liferay Enterprise Search Monitoring および Liferay Enterprise Search Security)は、Elasticsearch サーバとの通信に Java Transport Client を使用しています。 この場合、製品にはREST APIを呼び出すコンポーネントがないため(_cluster/settings)、Liferay DXPを介して脆弱性を悪用することはできません。
追加情報
Liferay Connector to Elasticsearch 6 と Liferay Enterprise Search コネクタ(バージョン 2.0)は現在、Elasticsearch バージョン 6.1.x で動作するように サポートされていることを考慮し、Liferay サポートは現在の統合がより新しい Elasticsearch バージョンにも対応しているかテスト中です( LPS-86392参照 )。
テストが完了したら、この記事を更新して、追加の軽減策についてお客様にお知らせします。
検索エンジン互換性マトリックス
互換性のあるコネクタのバージョンや必要なパッチレベルなど、Elasticsearchの詳細な互換性については、こちらの情報( )をご参照ください。
Elastic、Elasticsearch、X-Packは、米国で登録されたElasticsearch BVの商標です。 を始めとする諸外国での