Spring Frameworkに関する脆弱性に対する影響について教えて下さい。

https://pivotal.io/jp/security/cve-2018-1270 (以下、CVE-2018-1270と略します)
https://pivotal.io/jp/security/cve-2018-1271 (以下、CVE-2018-1271と略します)
https://pivotal.io/jp/security/cve-2018-1272 (以下、CVE-2018-1272と略します)
https://pivotal.io/jp/security/cve-2018-1273 (以下、CVE-2018-1273と略します)
https://pivotal.io/jp/security/cve-2018-1274 (以下、CVE-2018-1274と略します)
https://pivotal.io/jp/security/cve-2018-1275 (以下、CVE-2018-1275と略します)

JPCERT/CCによる注意喚起
https://www.jpcert.or.jp/at/2018/at180014.html

intra-mart Accel Platform シリーズ の TERASOLUNA Server Framework for Javaにおける上記の脆弱性の影響の有無を教えて下さい。

回答:以下の通りとなります。

■重要度 Critical である下記脆弱性について

・CVE-2018-1270
・CVE-2018-1275

⇒脆弱性とされているspring-messagingモジュールが当社製品に含まれていないため、影響はありません。

・CVE-2018-1273
・CVE-2018-1274

⇒TERASOLUNA Server Framework for Javaでは、本脆弱性の影響を受けるようなSpring Data Commonsの使われ方は想定していないため影響なしと判断しています。

■重要度 High である下記脆弱性について

・CVE-2018-1271

⇒以下の条件をすべて満たしている場合に影響を受けます。

・Windows環境でアプリケーションを実行している
・静的ファイルリソース(<mvc:resources>のlocationでfile:/~ 等の形式)を利用している

■重要度 Low である下記脆弱性について

・CVE-2018-1272

⇒TERASOLUNA Server Framework for Javaを利用している場合、影響を受けます。

●今後の対応

2019 Summer以降にて、各脆弱性に対応したTERASOLUNA Server Framework for Javaのアップデートを予定しています。


-- 対象 ------------------------------------------------------------------------
iAP/ Accel Platform / 全バージョン
--------------------------------------------------------------------------------


FAQID:684
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
Powered by Zendesk