Information / Press Releaseインフォメーション / プレスリリース
|
2022年04月08日
株式会社データ・アプリケーション
|
Spring Frameworkの脆弱性(CVE-2022-22965)に関するDAL製品の影響について
拝啓 貴社ますますご盛栄のことと慶び申し上げます。平素は格別のお引き立てをいただき、厚く御礼申し上げます。 さて、Javaプラットフォーム向けのオープンソースアプリケーションフレームワークであるSpring Frameworkにて脆弱性(CVE-2022-22965)が報告されましたので、弊社製品の影響について下記のとおりご案内申し上げます。
記
1.脆弱性情報
1)脆弱性識別番号
CVE-2022-22965
2)CVE-2022-22965 について(JPCERT/CC)
「Spring Frameworkの任意のコード実行の脆弱性(CVE-2022-22965)について」
https://www.jpcert.or.jp/newsflash/2022040101.html
2.弊社製品への影響
1)影響対象外製品
以下製品につきましては、Spring Frameworkを使用していないため影響ありません。
ACMS Apex
ACMS E2X
ACMS B2B
ACMS B2B LE
ACMS Web/deTradeII
ACMS WebAgent
ACMS Lite Neo
ACMS/WS
RACCOON
AnyTran
OCRtran
2)影響対象となる製品 但し条件あり
ACMS WebFramer v1.8.0~1.9.0
※WAS(Tomcat、TomEE)の実行環境として、JDK11を使用されている場合は、当脆弱性の影響対象となります。
※WAS(Tomcat、TomEE)の実行環境として、JDK8を使用されている場合は、WebFramerの上記バージョンを使用されていても、CVE-2022-22965の対象外となります。
※ACMS WebFramer v1.7.0以下は、動作環境としてJDK11をサポートしておりませんので、CVE-2022-22965の脆弱性対象外となります。
※なお、当脆弱性に対するACMS WebFramer本体の対応については現在検討中となります。
3.ACMS WebFramerの影響回避策
2.の2)にて記載しました通り、ACMS WebFramer v1.8.0~1.9.0を使用されており、且つ、WAS(Tomcat、TomEE)の実行環境として、JDK11を使用されている場合、当脆弱性の影響対象となりますので、実行環境をJDK8にダウングレードすることにより影響を回避できます。
4.その他
Spring Cloud Functionにつきましても、脆弱性情報が公開されましたが(CVE-2022-22963)、こちらにつきましては、ACMS WebFramer含め、弊社製品に影響はありません。
以上
【お問い合わせ】
株式会社データ・アプリケーション 営業本部
TEL:03-6370-0909 Email:sales@dal.co.jp
|