intra-mart Accel Platform シリーズ の TERASOLUNA Server Framework for Javaにおける、Spring Frameworkの脆弱性の影響有無を教えて下さい。

【概要】

Spring Frameworkに関する脆弱性として以下が報告されています。

https://pivotal.io/jp/security/cve-2018-1270 (以下、CVE-2018-1270と略します)
https://pivotal.io/jp/security/cve-2018-1271 (以下、CVE-2018-1271と略します)
https://pivotal.io/jp/security/cve-2018-1272 (以下、CVE-2018-1272と略します)
https://pivotal.io/jp/security/cve-2018-1273 (以下、CVE-2018-1273と略します)
https://pivotal.io/jp/security/cve-2018-1274 (以下、CVE-2018-1274と略します)
https://pivotal.io/jp/security/cve-2018-1275 (以下、CVE-2018-1275と略します)
 
JPCERT/CCによる注意喚起
https://www.jpcert.or.jp/at/2018/at180014.html

intra-mart Accel Platform シリーズ の TERASOLUNA Server Framework for Javaにおける影響有無は以下の通りとなります。
 
■重要度 Critical である下記脆弱性について
 
・CVE-2018-1270
・CVE-2018-1275
 
⇒脆弱性とされているspring-messagingモジュールが当社製品に含まれていないため、影響はありません。

・CVE-2018-1273
・CVE-2018-1274
 
⇒TERASOLUNA Server Framework for Javaでは、本脆弱性の影響を受けるようなSpring Data Commonsの使われ方は想定していないため影響なしと判断しています。

 
■重要度 High である下記脆弱性について
 
・CVE-2018-1271
 
⇒以下の条件をすべて満たしている場合に影響を受けます。
 
・Windows環境でアプリケーションを実行している
・静的ファイルリソース(<mvc:resources>のlocationでfile:/~ 等の形式)を利用している
 
■重要度 Low である下記脆弱性について
 
・CVE-2018-1272
 
⇒TERASOLUNA Server Framework for Javaを利用している場合、影響を受けます。
 
●今後の対応
 
2019 Spring以降にて、各脆弱性に対応したTERASOLUNA Server Framework for Javaのアップデートを予定しています。

-- 対象 ------------------------------------------------------------------------
iAP/Accel Platform/全バージョン
--------------------------------------------------------------------------------

FAQID:684
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
Powered by Zendesk