2022年3月31日に、Spring Frameworkに任意のコード実行の脆弱性が確認されました。
JPCERT:https://www.jpcert.or.jp/newsflash/2022040101.html
NIST :https://nvd.nist.gov/vuln/detail/CVE-2022-22965
本脆弱性は、CVE-2022-22965として登録され、CVSSスコア9.8の重大な問題に分類されています。
FossIDのご利用において影響を受けるケース、および対処方法をご案内いたします。
Spring Framework脆弱性の影響を受けるケース
依存性解析機能が設定されたFossID WebAppに影響を及ぼします。
依存性解析機能を設定していないFossiD WebAppはこの脆弱性の影響を受けません。
FossID WebAppは、オプションで設定された依存性解析機能のために、ORT
(Open source review toolkit)と呼ばれるサードパーティー製のツールを利用しています。
このORTが今回の脆弱性の影響を受けるものとなります。
お使いのWebAppにORTが含まれているかどうかは以下のステップで確認できます。
- WebAppにログインし、[システムユーティリティ] > [システム情報] > グローバルシステムチェックの実施] > [実行]により、システムチェックの結果が表示されるまで待ちます。
- 「4. 依存性解析の検証」の部分の結果を確認します。
- 結果に「OSS Review Toolkit」のバージョン情報が表示されていれば、依存性解析機能が設定されておりORTが含まれています。
脆弱性の対処方法
FossID WebAppに依存性解析機能が設定されている場合には、fossid-ortパッケージの
アップデートをする必要があります。
ダウンロードサイトから fossid-ort パッケージ(v22.1) をダウンロードして
通常のインストラクションにしたがいインストールしてください。
FossID WebAppの最新版は21.2.4ですが、fossid-ort 22.1と組み合わせて
利用することができます。