Alfresco Content Services Security Advisory 2022-12-01 日本語訳

目次

概要

Alfresco Content Services の潜在的なメモリ リークがサービス拒否につながる可能性があります。 

影響をうけるバージョンとビルド

Alfresco Content Services バージョン 6.2 から 7.2 までのすべてのビルド

修正されたバージョンとビルド

7.2.1.3
7.1.1.7
7.0.1.9
6.2.2.25

問題の説明 

Hyland が特定した Alfresco Content Services の脆弱性に対する修正プログラムが利用可能です。

この問題により、悪意のある可能性のある JavaScript コードをシステムで実行することが可能になり、実行ごとにメモリの消費量が増加します。これにより、サービス拒否 (DoS) が発生する可能性があります。 

この修正には、スクリプトが使用できるリソースを制限し、以前のスクリプトの実行で使用されたメモリを再利用するための制御を配置するための構成可能な設定の導入が含まれていました。

スクリプトが使用できるリソースと、メモリを再利用するための制御を配置する前のスクリプト実行で使用されます。
新しい構成設定は、リポジトリ セクションを構成します。

緩和する要素 

▪ この脆弱性を利用するには、特定のスクリプト コンテンツを使用して管理者権限を悪用する必要があります。 

▪ 信頼できるユーザーのみが ALFRESCO_ADMINISTRATORS グループに追加されていることを確認します。管理者以外のユーザーは、スクリプトをリポジトリにアップロードできません。 

是正処置

この特定のリスクは、以下に示す修正済みビルドのいずれかにアップグレードすることで回避できます。ハイランドは、ソリューションを修正済みビルドのいずれかにできるだけ早くアップグレードすることを強くお勧めします。
Alfresco Content Services 製品への検証評価を支援するため、または影響を受ける可能性があるかどうかを判断するために支援が必要な場合はサポート窓口に連絡してください。

また、この問題の影響を受けないソフトウェアのビルドのダウンロード情報が必要な場合もサポート窓口に連絡してください。

サポート窓口の連絡先情報は、リックソフト株式会社から購入したライセンスでは日本語サポート窓口に連絡ください。Hyland 社から直接購入したライセンスの場合は、英語サポートのみの提供となり、Hyland Community カスタマー ポータルの [概要] タブ内にある [Supported By] セクションを確認してください。

ホットフィックスをインストールする前の注意事項

ホットフィックスをインストールする 前に、次の考慮事項を確認してください。 

• Alfresco Content Services のセキュリティを強化するために、追加の機能変更が実装されています。  したがって、ホットフィックスを適用する前に、カスタマイズした部分がある場合は、動作に問題がでないか確認することをお勧めします。 問題が特定された場合は、事前にカスタマイズを変更する必要がある場合があります。

• ホットフィックスのインストールを実行する前にカスタマイズについて疑問がある場合は、Alfresco Extension Inspector を使用して、特定の環境のカスタマイズに関する詳細情報を確認してください。

• ホットフィックスのインストール プロセスを開始する前に、既存の展開に Alfresco レポジトリと Alfresco データベースの機能的なバックアップがあることを確認してください。

ハイランドコミュニティ 

修正プログラムをインストールするには: 

以下の表で、Alfresco Content Services のバージョンと対応するファイル名を見つけます。
• 下の表にあるファイル名を、拡張子を含めてコピーします。
• ハイランド コミュニティにログインする
• 上部のナビゲーションで [サポート] をクリックします。
• Software Downloads サイドバーの Software Downloads リンクをクリックします • この電子メールからコピーしたファイル名を Technical Support Secure Downloads サイドバーの File Name フィールドに貼り付けます
• [送信] ボタンをクリックします
• 生成されたリンクをクリックしてダウンロードを開始します

追加の質問や懸念がある場合は、サポート窓口に連絡してください。