[2022/04/15更新]Spring Framework RCEの脆弱性に関する開発元の見解について (CVE-2022-22965)

[2022/04/15更新]Spring Framework RCEの脆弱性に関する開発元の見解について (CVE-2022-22965)

[2022/04/15更新]  (バージョンアップのためのご参考資料リンクを追記しました)
開発元よりBrava製品のうち Brava Enterpriseが本脆弱性の影響を受けることが発表されました。
   ・Brava Enterprise・・影響あり   (ただし、バージョン7.xについては影響なしとなります)
   ・Blazon Enterprise・・影響なし

[解決方法]
開発元はできるだけ早く以下のガイドラインに沿うことを推奨しています。

ご利用のBrava Enterpriseのバージョンにより対応方法が異なります。ご利用のバージョンにあわせてご対応ください。

[Brava Enterpriseバージョン 16.0~16.2]
1. Java 8(JDK)にアップグレードします

[Brava Enterpriseバージョン16.2~16 EP7(16.6.1) - Spring Framework 4.xまたは5.1が使用されている。Tomcat 7~9が使用されている。]

1. 現在のTomcatバージョンが7~8.5のとき、8.5.78にアップグレードします
2. 現在のTomcatバージョンが9のとき、9.0.62にアップグレードします

[Brava Enterprise16 EP7 Update 2(16.6.2)以降  - Spring Framework 5.2 または 5.3が使用されている。]
1. Brava Enterpriseのインストールディレクトリーと使用しているWebサーバー(例: Tomcat)からからSpring Frameworkファイル (例: spring-*.jar) を見つけます:
    a. <Web Server>\webapps\BravaLicense\WEB-INF\lib
    b. <Web Server>\webapps\BravaServer\WEB-INF\lib
    c. .\Brava! Enterprise\Brava! License\LicenseWar\WEB-INF\lib
    d. .\Brava! Enterprise\ServerWar\WEB-INF\lib

2. 製品とWebサーバーに関連するサービスを終了します
3. JARファイルを更新します

    a. Spring Framework 5.2のファイルが見つかったら Spring Framework 5.2.20を使用します
    b. Spring Framework 5.3のファイルが見つかったら Spring Framework 5.3.18かそれ以上を使用します

--2022/04/15追記ここから
<ご対応手順について>
上記は開発元が開発元が公開している情報には具体的なアップグレード手順の指定は無く、一般的なTomcatアップグレードの方法でアップグレードする形でよいとの連絡を受けております。
実施手順として開発元の公式なものがございませんが、弊社にて検証を行った際のスクリーンショットなどをまとめた参考資料を作成いたしました。
以下のリンクに格納しておりますのでご参考にいただければと存じます。
貴社環境に合わせて、手順の変更やその他必要な事項がございましたら別途ご実施ください。
-- 2022/04/15 追記ここまで

[2022/04/06更新]
開発元では2022年3月29日に開示された最近のSpring4Shellの脆弱性を認識しており、影響を調査・評価中であると発表いたしております。
現時点でBrava製品への影響は発表されていませんが今後開発元より発表がありましたら本ページにて速やかにご案内いたします。

    • Related Articles

    • Log4J脆弱性に関する開発元の見解について (CVE-2021-44228・CVE-2021-45046・CVE-2021-45105・CVE-2021-44832)

      [2022/01/05更新] CVE-2021-44832が新たに報告されていますが、Brava Enterprise/Blazon EnterpriseはLog4Jを使用していないため、本脆弱性への影響は無い、との見解が開発元より発表されました。 引き続き状況を注視し、新たな情報が得られましたら公開いたします [2021/12/28更新] CVE-2021-44228 の後、Log4j の追加の脆弱性 (CVE-2021-45046 と CVE-2021-45105) ...

    • Brava製品がインストールされているマシンでのウィルススキャンソフトウェア実行について

      製品インストールの際は、ウイルススキャンソフトウェアをはじめ、下記のようにBrava製品のインストールディレクトリにアクセスする可能性のある製品は必ず停止してください。 モニタリングツール ログ収集ツール インストール後にBrava製品の稼働しているマシンでこれらのソフトウェアを実行する場合は、Brava製品の各モジュールが使用するディレクトリをスキャン対象から外してください。 除外対象のディレクトリは、製品付属の「インストールガイド」に記載されています。 ...

    • Brava製品がインストールされているOSのWindows Update実行について

      開発元のOpenText社、および弊社では、Windows Updateリリース毎の製品への動作影響についての検証は行っておりません。 Windows Update後の問題についてご報告いただいた場合は、調査実施および開発元へのエスカレーションを行い、お客様の問題解決について支援いたします。 動作に影響する事象が報告された場合は、本FAQで周知いたします。 現在判明しているWindows Update起因の問題 [サーバー] ●KB4103723による影響(Brava ...

    • お問い合わせに関する「よくあるご質問」

      お問い合わせに関する「よくあるご質問」を下記の通りまとめました。 Q: 製品購入済ですが、保守サポート番号がわかりません。 A: Brava製品の保守サポート番号は、「OTX-」のプリフィクスで始まる番号で、以下件名のメールに記載されています。 「【製品名】ユーザー登録とライセンス情報のご連絡」 (納品時に送付) 「【製品名】保守サポートサービスに関するご連絡」  (保守契約更新時に送付) 「【製品名】ご契約更新のご案内」          (保守更新時期案内として送付) ...

    • IEサポート終了後のActiveXビューアサポート環境について

      各バージョン毎のActiveXビューアの動作要件は以下表の通りです。 Brava Enterprise バージョン OSバージョン IEバージョン(*) Edge IEモードをサポート 16 EP7 Update 6 Windows 11, 10 11 〇 16 EP7 Update 4 Windows 10, 8.1, 8, 7 11 × 16 EP7 Update 2 Windows 10, 8.1, 8, 7 11 × 16.6 Windows 10, 8.1, 8, 7 11 × ...