CVE-2022-22965に関するBizRobo!への影響と対応方法について

フォローする

弊社が公開しておりますBizRobo! Basicの「Windows用Tomcat構築作業手順書」に従い環境構築をされている場合、本脆弱性の影響はありません。

 

脆弱性の内容

Spring Frameworkの脆弱性により、遠隔より第三者による任意のコード実行が行われる可能性があります。
脆弱性の発生条件は以下であると公開されております。

  • JDK 9以上を使用している
  • Apache Tomcatをサーブレットコンテナーとして使用している
  • WAR形式でデプロイされている
  • プログラムがspring-webmvcあるいはspring-webfluxに依存している 

※詳細な情報についてはこちらを参照ください。

BizRobo!におきましては、上記条件を満たすアプリケーションとしてManagement Consoleが該当致します。
具体的な影響範囲につきましては以下に明記しております。


BizRobo! への影響

BizRobo! Basic v10.7またはv11.1をご利用頂いており、かつJava11をインストールしてTomcatを実行している場合のみ、本件への影響を受ける可能性があります。
冒頭にも記載致しました通り、Windows用Tomcat環境構築手順書におきましては、全てJava8での手順としておりますため、影響を受けることはありません。

CVE-2022-22965.jpg

※BizRobo! mini についてはガバメントライセンスを含む

 

Javaバージョンの確認方法

現在ご利用中の環境におけるJavaバージョンの確認方法について解説致します。
Javaのバージョンが不明な場合に参考としてください。

  1. Management Consoleを実行しているサーバ上で、コマンドプロンプトを開く
  2. java -version と入力し、コマンドを実行する
  3. 表示されたJavaバージョンを確認する
    Java8の例


    Java11の例


    BizRobo! Basic v10.7またはv11.1をご利用
    かつ、上記Java11の例のように  java version "11.XXX" もしくは openjdk version "11.XXX"と表示された場合は、以下対応方法に従い修正パッチの適用をご実施ください。

対応方法

BizRobo! PORTAL へ脆弱性対応のための パッチと適用手順書を公開いたしました。
下記 BizRobo! PORTL のリンクより、 パッチと適用手順書をダウンロードしていただき、内容をよく確認のうえ、手順に従い対応をご実施頂けますようお願いいたします。
パッチはv10.7用、v11.1用で個別にご用意しておりますので、ご利用のバージョンのファイルをダウンロードください。

BizRobo! Basic/Lite


区分 発生Ver 改修ID 修正Ver
不具合 10.7.X, 11.X - -