公開されている重大な脆弱性への対応方法(R9)

最終更新日: 2023年1月6日
R8 | R9

公開されている既知の脆弱性情報のうち、Wagbyで対応が必要なものについてまとめています。

セキュリティ対応一覧

CVE-2022-42252
概要	Apache Tomcatの脆弱性
該当するWagbyのバージョン	なし。WagbyR9に同梱しているTomcat 9系のデフォルト設定はrejectIllegalHeaderをtrueとなっているため。
対応方法	Wagbyに同梱されているTomcat 9系をそのまま使っている場合は対応不要。開発者が設定ファイル server.xml をカスタマイズしている場合はrejectIllegalHeaderがfalseとなっていないかどうか確認すること。falseの場合、これをtrueにすること。
詳細	wagbyapp/conf/server.xmlに下記の記述があります。（port="8921"は、環境 - サーバ - Tomcat - HTTPポート番号で指定した数値です。） `<Connector port="8921" protocol="HTTP/1.1" maxHttpHeaderSize="8192" maxThreads="150" enableLookups="false" redirectPort=“8443" acceptCount="100" connectionTimeout="20000" disableUploadTimeout="true" useBodyEncodingForURI="true" server=" " compression="off" compressionMinSize="256" compressableMimeType="text/javascript,text/css,text/html,text/xml" maxParameterCount="20000"/>` 通常 `rejectIllegalHeader` の指定はありません。未指定の場合、デフォルト値は true のため問題ありません。もし明示的に false となっている場合、この設定を除くか、true としてください。true と明記した例を以下に示します。 `<Connector port="8921" protocol="HTTP/1.1" maxHttpHeaderSize="8192" maxThreads="150" enableLookups="false" redirectPort=“8443" acceptCount="100" connectionTimeout="20000" disableUploadTimeout="true" useBodyEncodingForURI="true" server=" " compression="off" compressionMinSize="256" compressableMimeType="text/javascript,text/css,text/html,text/xml" maxParameterCount="20000"/ rejectIllegalHeader="true" />` wagbydesigner/bin/template/server.xml.tomcat9 を同様に修正することで、自動生成されるserver.xmlを変更することができます。なお Apache - Tomcat連携を使っている場合で、この部分がコメントアウトされており、AJP 1.3プロトコルにて接続されている場合は今回の脆弱性の対象ではないため、設定の必要はありません。
CVE-2022-31692
概要	Spring Security の脆弱性。本来はアクセスできないページにアクセスできるという脆弱性がある。Wagbyはその認可機能を使っていないため影響はない。
該当するWagbyのバージョン	R9.0.0〜R9.1.x
対応方法	不要
バージョンアップできない場合の対応	（なし）
CVE-2022-31690
概要	Spring Security の特権昇格に関わる脆弱性。WagbyではOIDC (OpenID Connect)利用時のみ影響を受ける可能性がある。
該当するWagbyのバージョン	R9.0.0〜R9.1.x
対応方法	R9.2以降へのバージョンアップにより、同梱している Spring Security を 5.6.9 以降に上げる。(R9.1系では他ライブラリとの整合性から、Spring Security のバージョンは上げない。)
バージョンアップできない場合の対応	（なし）
CVE-2022-22965
概要	Spring Framework の脆弱性。通称 SpringShell。Wagbyのログオン画面のみ影響する。Wagbyアプリケーションを社外に公開しており、外部からログオン画面のURLにアクセスできる場合は危険となります。
該当するWagbyのバージョン	R9.0.0〜R9.1.0
対応方法	R9.1.1以降へのバージョンアップ
バージョンアップできない場合の対応	(1) Java 8 でフルビルドしてください。 (2) Patch Offer 契約で、任意のバージョンの Wagby に対してログオン画面の修正を行ったパッチファイルを提供します。
CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-44832
概要	Log4j2ライブラリの脆弱性。通称 Log4jShell。ログに出力される文字列に攻撃文を含めると、その文字列に含まれる任意のJavaコードを実行できてしまう。例えばログオン画面のユーザ名に攻撃文を含めてログオンするだけでも攻撃が成立するため、危険度が高い。
該当するWagbyのバージョン	R9.0.0/R9.0.1/R9.0.2/R9.0.3/R9.0.4
対応方法	R9.1.0以降をご利用ください。脆弱性を修正したLog4j2ライブラリを同梱しています。
バージョンアップできない場合の対応	Log4j2ライブラリを差し替えてください。詳細は「Log4j2脆弱性対応パッチ」をお読みください。