セキュリティ研究者はSpringに脆弱性を発見しました。これは、一部のYellowfinに影響を与える可能性があります。
SpringShell(Spring4Shell)CVE 2022-22965は重大な脆弱性であり、影響を受けるYellowfinサーバーでリモートでコードが実行される可能性があります。
この脆弱性の詳細についてはこちらをご覧ください: https://nvd.nist.gov/vuln/detail/CVE-2022-22965
もう1つの類似したSpringの脆弱性、CVE-2022-22963はYellowfinは影響を受けません。これはYellowfinソフトウェア内で使用されないSpringCloudの依存関係に影響します。
この脆弱性の詳細についてはこちらをご覧ください:https://nvd.nist.gov/vuln/detail/CVE-2022-22963
SpringShellが影響するYellowfinバージョンは下記になります:
- Yellowfinバージョン9.0-9.7.1
- Yellowfinバージョン8.0.4-8.0.11
注:これらのバージョンはJava9以降でYellowfinを実行している場合にのみ脆弱性の影響を受けます。
修復オプション1: YellowfinのSpringの依存関係をアップグレードする
- https://ftp.yellowfin.bi/f/9cfd967ef889adceからspring-5.3.18.zipをダウンロードし ます
- Yellowfinサーバーを停止します
- 脆弱なSpringの依存関係を<インストールフォルダ>/appserver/webapps/<コンテキストフォルダ>(通常はROOT)/WEB-INF/libフォルダから削除します。
対象はspring-*.jarに一致するライブラリです。 - ダウンロードしたファイルを解凍し、新しいSpringの依存関係を先のステップでSpringの依存関係を削除したフォルダにコピーします
- Yellowfinサーバーを再起動します。
修復オプション2:ApacheTomcatをアップグレードする
- 現在Tomcat9のバージョンを使用している場合は、Tomcat9.0.62にアップグレードしてください。
- 現在Tomcat8.5のバージョンを使用している場合は、Tomcat8.5.78にアップグレードしてください。
- アップグレード手順についてはこちらをご覧ください(英語):https://community.yellowfinbi.com/knowledge-base/article/how-to-upgrade-tomcat
修復オプション3:Java8を使用する
注:Java 8を使用すると、Java9以降に対してコンパイルされたプラグインまたはJDBCドライバーが機能しなくなる可能性があります。
- Yellowfinサーバーを停止します
- オペレーティングシステムにJava8の最新リリースをインストールします
- JAVA_HOME変数を更新します。
- JAVA_HOMEまたはJAVA_JRE変数をインストールしたJava8のパスを設定します。
次の記事を参考にして対象となる環境のJAVA_HOMEまたはJAVA_JRE変数を更新してください。
https://support.yellowfin.co.jp/hc/ja/articles/360055421574
- JAVA_HOMEまたはJAVA_JRE変数をインストールしたJava8のパスを設定します。
- Yellowfinサーバーを再起動します。
修復オプション4:パッチを適用したYellowfinを使用する
Yellowfinはこの脆弱性に対応した8.0.11(8.0.11.1として公開)および9.7.1(9.7.1.1として公開)のパッチバージョンをリリースしています。これらのリリースは、こちらのビルドページから入手できます。
この脆弱性から保護するために、修復オプションのいずれかを実行することをお勧めします。
ご不明な点などございましたら、サポートチームまでお問い合わせください。