| 【重要】Oracle Java の脆弱性による影響について | 2022/05/31更新 |
※1)、2)対処版の製品をリリースいたしました。
Oracle 社から Java SE に関する脆弱性が公表されました。脆弱性の詳細は以下の参考ページをご覧ください。
【 参考 】
Oracle Critical Patch Update Advisory - April 2022 (Oracle Java SE Risk Matrix)
IPA:Oracle Java の脆弱性対策について(CVE-2022-21449等)
上記脆弱性の発表を受け弊社におきましても製品に与える影響について調査を行いました。
その結果、一部製品で下記脆弱性の影響を受ける可能性があることが判明致しました。
Oracle 社から Java SE に関する脆弱性が公表されました。脆弱性の詳細は以下の参考ページをご覧ください。
【 参考 】
Oracle Critical Patch Update Advisory - April 2022 (Oracle Java SE Risk Matrix)
IPA:Oracle Java の脆弱性対策について(CVE-2022-21449等)
上記脆弱性の発表を受け弊社におきましても製品に与える影響について調査を行いました。
その結果、一部製品で下記脆弱性の影響を受ける可能性があることが判明致しました。
| 1) | CVE-2022-0778 | |
| [ 概要 ] | ||
| OpenSSL バージョン 1.0.2、1.1.1、3.0において不正なパラメータを含むように細工された証明書を利用し、無限のロジックループを発生させることによって、サービス拒否 (DoS) を引き起こす可能性がある。 | ||
| [ 影響を受ける製品 ] | ||
| Biz/Browser DT Ver1.0.0 〜 Ver1.4.0 | ||
| [ 想定される影響 ] | ||
| 不正なSSL証明書を配置しているサーバに対しHTTPS通信を行った場合、処理が無限ループしBiz/Browser DTがハングアップする。 | ||
| [ 対処方法 ] | ||
| Biz/Browser DT Ver1.4.1以降へのバージョンアップ (2022年5月31日時点の最新バージョンはBiz/Browser DT Ver1.4.2です。) |
||
| 2) | CVE-2022-21449 | |
| [ 概要 ] | ||
| ECDSA(楕円曲線デジタル署名アルゴリズム)の実装に欠陥があり、不正なデジタル署名の検証が誤って成功してしまう。 | ||
| [ 影響を受ける製品 ] | ||
| FormEditor Ver4.0.0.0 〜 Ver4.0.0.1 | ||
| [ 想定される影響 ] | ||
| FormEditorでの帳票レイアウト開発時、データ参照先へ不正なデジタル署名を利用したサーバURLを指定してもエラーにならずデータ参照ができてしまう。 | ||
|
※1 「印刷データウィザード」>「WEBサーバからダウンロード」を選択した場合が該当します。 参考:https://biz-collections.com/support/webpages/html/onlinemanual/printstreamcore/formeditor/part5_5.html ※2 サーバ上で帳票印刷モジュールを利用した帳票作成には影響ありません。 |
||
| [ 対処方法 ] | ||
|
FormEditor Ver4.0.1.0へのバージョンアップ (本件の問題を対処したFormEditorは、2022年5月31日に公開されました。) |
||
本件についてのお問い合せはこちらへ
こちら
