https://pivotal.io/jp/security/cve-2018-1270 (以下、CVE-2018-1270と略します)
https://pivotal.io/jp/security/cve-2018-1271 (以下、CVE-2018-1271と略します)
https://pivotal.io/jp/security/cve-2018-1272 (以下、CVE-2018-1272と略します)
https://pivotal.io/jp/security/cve-2018-1273 (以下、CVE-2018-1273と略します)
https://pivotal.io/jp/security/cve-2018-1274 (以下、CVE-2018-1274と略します)
https://pivotal.io/jp/security/cve-2018-1275 (以下、CVE-2018-1275と略します)
JPCERT/CCによる注意喚起
https://www.jpcert.or.jp/at/2018/at180014.html
intra-mart Accel Platform シリーズ の TERASOLUNA Server Framework for Javaにおける上記の脆弱性の影響の有無を教えて下さい。
回答:以下の通りとなります。
■重要度 Critical である下記脆弱性について
・CVE-2018-1270
・CVE-2018-1275
⇒脆弱性とされているspring-messagingモジュールが当社製品に含まれていないため、影響はありません。
・CVE-2018-1273
・CVE-2018-1274
⇒TERASOLUNA Server Framework for Javaでは、本脆弱性の影響を受けるようなSpring Data Commonsの使われ方は想定していないため影響なしと判断しています。
■重要度 High である下記脆弱性について
・CVE-2018-1271
⇒以下の条件をすべて満たしている場合に影響を受けます。
・Windows環境でアプリケーションを実行している
・静的ファイルリソース(<mvc:resources>のlocationでfile:/~ 等の形式)を利用している
■重要度 Low である下記脆弱性について
・CVE-2018-1272
⇒TERASOLUNA Server Framework for Javaを利用している場合、影響を受けます。
●今後の対応
2019 Summer以降にて、各脆弱性に対応したTERASOLUNA Server Framework for Javaのアップデートを予定しています。
-- 対象 ------------------------------------------------------------------------
iAP/ Accel Platform / 全バージョン
--------------------------------------------------------------------------------
FAQID:684
Spring Frameworkに関する脆弱性に対する影響について教えて下さい。