公開されている重大な脆弱性への対応方法(R8)

最終更新日: 2023年1月6日
R8 | R9

公開されている既知の脆弱性情報のうち、Wagbyで対応が必要なものについてまとめています。

セキュリティ対応一覧

CVE-2022-42252
概要	Apache Tomcatの脆弱性
該当するWagbyのバージョン	R8.0.0からR8.5.12まで
対応方法	R8.5.13へのバージョンアップ
バージョンアップできない場合の対応	wagbyapp/conf/server.xmlに下記の記述があります。（port="8921"は、環境 - サーバ - Tomcat - HTTPポート番号で指定した数値です。） `<Connector port="8921" protocol="HTTP/1.1" maxHttpHeaderSize="8192" maxThreads="150" enableLookups="false" redirectPort=“8443" acceptCount="100" connectionTimeout="20000" disableUploadTimeout="true" useBodyEncodingForURI="true" server=" " compression="off" compressionMinSize="256" compressableMimeType="text/javascript,text/css,text/html,text/xml" />` これに `rejectIllegalHeader="true"` を追加してください。下記のようになります。 `<Connector port="8921" protocol="HTTP/1.1" maxHttpHeaderSize="8192" maxThreads="150" enableLookups="false" redirectPort=“8443" acceptCount="100" connectionTimeout="20000" disableUploadTimeout="true" useBodyEncodingForURI="true" server=" " compression="off" compressionMinSize="256" compressableMimeType="text/javascript,text/css,text/html,text/xml" rejectIllegalHeader="true" />` wagbydesigner/bin/template/server.xml.tomcat8 を同様に修正することで、自動生成されるserver.xmlを変更することができます。なお Apache - Tomcat連携を使っている場合で、この部分がコメントアウトされており、AJP 1.3プロトコルにて接続されている場合は今回の脆弱性の対象ではないため、設定の必要はありません。
CVE-2022-31690
概要	Spring Security の脆弱性。特権昇格の可能性がある。WagbyではOIDC (OpenID Connect)利用時のみ影響を受ける可能性がある。
該当するWagbyのバージョン	R9.0.0〜R9.1.x
対応方法	R9.2以降へのバージョンアップにより、同梱している Spring Security を 5.6.9 以降に上げる。(R9.1系では他ライブラリとの整合性から、Spring Security のバージョンは上げない。)
バージョンアップできない場合の対応	（なし）
CVE-2022-31690
概要	Spring Security の特権昇格に関わる脆弱性。WagbyではOIDC (OpenID Connect)利用時のみ影響を受ける可能性がある。
該当するWagbyのバージョン	R8.0.0〜R8.5.x
対応方法	R9.2以降へのバージョンアップにより、同梱している Spring Security を 5.6.9 以降に上げる。(R8系では他ライブラリとの整合性から、Spring Security のバージョンは上げない。)
バージョンアップできない場合の対応	（なし）
CVE-2022-22965
概要	Spring Framework の脆弱性。通称 SpringShell。Wagbyのログオン画面のみ影響する。Wagbyアプリケーションを社外に公開しており、外部からログオン画面のURLにアクセスできる場合は危険となります。
該当するWagbyのバージョン	R8.0.0〜R8.5.9
対応方法	R8.5.10以降へのバージョンアップ
バージョンアップできない場合の対応	(1) Java 8 でフルビルドしてください。 (2) Patch Offer 契約で、任意のバージョンの Wagby に対してログオン画面の修正を行ったパッチファイルを提供します。
CVE-2021-4104
概要	Log4jライブラリの脆弱性。通称 Log4jShell。Log4j の設定ファイルをWagby標準のまま使っている場合は問題ない。設定ファイルを手動で変更し、JMSApender を使って JNDI アクセスを有効にしている場合に任意のコードを実行される脆弱性が生じる。
該当するWagbyのバージョン	すべてのR8系
対応方法	R9系へのバージョンアップ。（R8系に同梱されているLog4j 1系はすでに開発が終了しているため、修正される見込みがない。)
バージョンアップできない場合の対応	開発者は製品に同梱された Log4j の設定ファイル (log4j.properties) を変更したかどうかをご確認ください。このファイルを変更しJMSApender を使っている場合は同機能を無効にしてください。
CVE-2020-1938
概要	Apache Tomcatの脆弱性。Apache JServ Protocol (AJP) を介して遠隔の第三者が任意のコードを実行する可能性がある。
該当するWagbyのバージョン	R8.0.0からR8.3.6まで R8.4.0からR8.4.1まで
対応方法	R8.3.7/R8.4.2へのバージョンアップ
バージョンアップできない場合の対応	AJP 1.3 プロトコルの利用を無効とします。 wagbyapp/conf/server.xmlに下記の記述があります。 `<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" connectionTimeout="20000" enableLookups="false" useBodyEncodingForURI="true" />` これを無効とします。 `<!-- <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" connectionTimeout="20000" enableLookups="false" useBodyEncodingForURI="true" /> -->` wagbydesigner/bin/template/server.xml.tomcat8 を同様に修正することで、自動生成されるserver.xmlを変更することができます。