Spring Framework ライブラリに RCE (リモートコード実行) が可能となる脆弱性および、サービス運用妨害攻撃の脆弱性が発見されました。intra-mart 製品の影響について教えてください。

 

Spring Framework ライブラリにリモートコード実行が可能となる脆弱性(CVE-2022-22965)が発見されました。

本 FAQ では、これらの脆弱性に関する intra-mart 製品への影響について記載します。

 

現在、弊社で確認しております Spring4Shell 脆弱性の成立条件は下記のとおりです。

 

* Java9 以降を利用している。

 (intra-mart 製品では Java11 がサポート環境に含まれています)

* Spring Frameworkで作成されたアプリケーションが組み込まれている。

 (TERASOLUNA Server Framework for Java (5.x) for Accel PlatformにてSpring Frameworkが組み込まれています)

* アプリケーション開発において WebDataBinder#setDisallowedFieldsを通じて.classフィールドに対するアクセス制御をおこなっていない、または class, module, classLoader 等のパラメータ名を用いたリクエストをブロックしていない

 

上記条件に加え、RCE(リモートコード実行)を成立させるには下記の条件が必要です。

 

* アプリケーションサーバにTomcatが利用されている。

* Tomcatに対してWebアプリケーション(war)がデプロイされている

 

弊社製品Accel Platformでは、アプリケーションサーバTomcatはサポートしておりません。

そのため、即時にRCE(リモートコード実行)が成立する処理は現時点で確認しておりません。

RCE以外の影響があるかといった観点で引き続き調査を実施しています。

 

<影響がある製品>

 

* IM-SecureSignOn

  VANADIS 製品の製造元より正式な周知文書が配布されています。

  詳細については添付ファイル(cve-2022-22965_patch.zip)を確認してください。

  こちらでは周知文書に記載された内容について一部記載します。

 

  影響を受ける製品

   以下の製品が本脆弱性の影響を受ける可能性があります。

   ・ VANADIS SecureJoin SSO Server Ver6.5.4.0.1 以降

   ・ VANADIS SecureJoin SSO Server テストモード Ver6.5.4.0.1 以降

   ・ VANADIS パスワード管理サーバ Ver2.0.0 以降

   ・ VANADIS IdentityManager Ver6.4.2.07.00 以降

 

  影響を受ける条件

   以下の条件をすべて満たす場合に、脆弱性の影響を受ける可能性があります。

   ・ 上述の影響を受ける製品を利用している

   ※ VANADIS IdentityManager については、申請機能を使用している場合のみ

   ・ JDK9 以上を使用している

   ・ アプリケーションサーバに Apache Tomcat が利用されている

   ・ WAR 形式でデプロイされている

 

  添付ファイルについて

   添付ファイル(cve-2022-22965_patch.zip) は、
   IM-SecureSignOn for Accel Platform 2020 Winter 用のパッチファイルです。

   IM-SecureSignOn for Accel Platform 2019 Winter を利用されている場合は、
   IM-SecureSignOn for Accel Platform 2020 Winterにアップデート後、
   パッチの適用をお願いします。

 

 

<影響のない製品>

 

* intra-mart Accel Platform

 IM-Jugglingツールを用いて、Accel Platformの構成にTERASOLUNA Frameworkを導入している環境が対象です。

* IM-PDFDesigner for Accel Platform

* IM-PDFDesigner FullPack for Accel Platform

 

 

下記の製品では、Spring Frameworkを利用していないことを確認しています。

 

* intra-mart WebPlatform / AppFramework

* intra-mart BaseModule

* intra-mart Accel Archiver

* intra-mart Accel GroupMail

* IM-X-Server

* IM-X Server DB Bridge

* IM-X Server Management Service

* IM-PDFAutoConverter for Accel Platform

* IM-PDFCoordinator for Accel Platform

* IM-PDFDirectPrint for Accel Platform

* IM-PDFTimeStamper for Accel Platform

* intra-mart Accel Collaboration(電子会議室やアンケートを含む)

* intra-mart Accel Documents

* intra-mart Accel Documents Secure Download Option

* IM-ContentsSearch for Accel Platform

* intra-mart DPS シリーズ

* IM-Sign for Accel Platform

* IM-RPA for Accel Platform

* IM-BPM for Accel Platform

* IM-ERP Real Connect for Accel Platform

* IM-BloomMaker for Accel Platform

* Accel Studio

* IM-FormaDesigner for Accel Platform

* IM-BIS for Accel Platform

* IM-Spreadsheet for Accel Platform

* intra-mart e Builder for Accel Platform

* IM-Juggling

* ミドルウェア(Product File Downloadサイト経由での配布物)

* Caucho Resin

* intra-mart Accel Kaiden! 経費旅費

* intra-mart Accel Kaiden! 勤務管理

* intra-mart Accel Kaiden! マイナンバー

 

 

<クラウドサービスについて>

 

* Accel-Mart Quick

 Spring Frameworkは利用しておりません。

 

* Accel-Mart Plus

 環境に対してデプロイされたAccel Platformの構成に依存します。

 

<周辺ミドルウェア製品について>

 

Webサーバ、データベースなどお客様が導入されたミドルウェア製品については、各ベンダにお問合せをお願いします。

 

 -- 対象 -------------------------------------------------------------------------

iAP/Accel Platform/全アップデート

iAP/Accel Extensions/全シリーズ

iAP/Accel Applications/全シリーズ

 --------------------------------------------------------------------------------


FAQID:1154

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
Powered by Zendesk