Yellowfinの古いバージョンにおいて、セキュリティ脆弱性が確認され、最新バージョンにアップグレードしていないお客様に影響が出る可能性があります。
現在ご利用いただいおりますYellowfinのバージョンをできるだけ早く、影響を受けないバージョン(9.8.1.2または8.0.11.3)へアップグレードしていただくようお願いします。
セキュリティ脆弱性の内容は下記となります。
■StoryBodyActionで認証回避が可能になる
修正されたバージョン: 9.8.1.1, 8.0.11.2
影響を受けるバージョン: Version 8: 8.0.3 以降 8.0.11.2 より前のバージョン、Version 9: 9.8.1.1 より前の全てのバージョン
■EXTAPI-IPID クッキーが原因で、JsAPI Servlet に別の認証バイパスが存在した
修正されたバージョン: 9.8.1.1, 8.0.11.2
影響を受けるバージョン: Version 7: 7.3 以降のバージョン、Version 8: 8.0.11.2 より前の全てのバージョン、Version 9: 9.8.1.1 より前の全てのバージョン
■REST API 内の JWT 実装がハードコードされたキーに依存しており、偽造 JWT トークンの作成が可能だった
修正されたバージョン: 9.8.1.1, 8.0.11.2
影響を受けるバージョン: Version 8: 8.0.3 以降 8.0.11.2 より前のバージョン、Version 9: 9.8.1.1 より前の全てのバージョン
■Java Naming and Directory Interface (JNDI) インジェクションにより、任意のコマンドを実行される問題
修正されたバージョン: 9.8.1.1, 8.0.11.3
影響を受けるバージョン Version 7: 全てのバージョン; Version 8: 8.0.11.3 より前の全てのバージョン、Version 9: 9.8.1.1 より前の全てのバージョン
※上記内容の詳細情報につきましては、本社サイトをご参照ください。
また、上記の脆弱性対応につきましては、ChangeLogsの以下の項目にて対応を実施しております。(Yellowfin BI 8.0.11.3 - build 20230206、Yellowfin BI 9.8.1.1 - build 20221220)
Patched internal signature functions to use install-specific encryption keys to improve security.
セキュリティ向上の一環として、インストール固有の暗号化キーを利用できるよう、処理を一部改良しました。
(含まれる脆弱性対応:「StoryBodyActionで認証回避が可能になる」、「EXTAPI-IPID クッキーが原因で、JsAPI Servlet に別の認証バイパスが存在した」、「REST API 内の JWT 実装がハードコードされたキーに依存しており、偽造 JWT トークンの作成が可能だった」)
NDI datasource connections are now disabled by default due to possible security vulnerabilities.
JNDIデータソースは脆弱性の疑いがあるため、デフォルトでは利用不可になるよう変更しました。
(含まれる脆弱性対応:「Java Naming and Directory Interface (JNDI) インジェクションにより、任意のコマンドを実行される問題」)
また、現在バージョン9.8.1.2につきましては、「バージョン9.8.0以降へアップデート後、フィルターキャッシュのスケジュール更新に失敗する」の事象が見つかっております。こちらの事象によりバージョン9.8.1.2へのアップデートができない場合につきましては、お手数をおかけいたしますが、サポートチームまでご連絡ください。
ご不明な点などございましたら、サポートチームまでお問い合わせください。