「TERASOLUNA Global Framework」などの旧版に脆弱性
NTTデータが提供するフレームワーク「TERASOLUNA Global Framework」「TERASOLUNA Server Framework for Java(Rich版)」の旧版にリモートよりコードの実行が可能となる脆弱性が明らかとなった。
2013年にリリースした「TERASOLUNA Global Framework 1.0.0(Public Review版)」や、2014年にリリースされた「TERASOLUNA Server Framework for Java(Rich版)2.0.5.1」以下のバージョンに脆弱性「CVE-2022-43484」が明らかとなったもの。ベースとなる「Spring Framework」が「同3.2.6」よりも古いことに起因するという。
「Spring4Shell」としても知られる「CVE-2022-22965」と同様、「ClassLoader」の操作が可能となる脆弱性としており、細工したデータを処理するとリモートよりコードを実行されるおそれがある。
JPCERTコーディネーションセンターでは、共通脆弱性評価システム「CVSSv3.0」におけるベーススコアを「9.8」と評価している。
NTTデータでは、脆弱性の周知を目的に情報処理推進機構(IPA)へ報告。JPCERT/CCが調整を実施した。フレームワークをバージョンアップするか、回避策を講じるよう呼びかけられている。
(Security NEXT - 2022/11/16 )
ツイート
関連リンク
PR
関連記事
「Firefox」や「Thunderbird」にアップデート - 深刻な脆弱性を修正
「MS Edge」がゼロデイ脆弱性に対応 - 「Teams」「Skype」にも影響、詳細を調査
米当局、「Chrome」のゼロデイ脆弱性に注意喚起 - 各社がブラウザを更新
患者情報が閲覧可能に、管理者用URLを誤公開 - 慶応大病院
一部高校生の貸出用端末で成績情報が閲覧可能に - 静岡県
レセプトデータの移管作業に用いるUSBメモリを紛失 - 群馬の病院
学習支援システムの開発サーバから生徒情報が流出か - ECC
PDFを処理する「Ghostscript」にRCE脆弱性 - アップデートで修正
サイト改ざんで不正なページが表示 - 手芸用品メーカー
企業承認者のメアド流出、システム不具合で - 案件紹介サービス