脆弱性対応の概要
Yellowfinでは脆弱性の対応としては主にJavaやJava Scriptのライブラリ(サードパーティ製ライブラリ)および同梱のTomcatを対策済みの新しいバージョンへ入れ替えております。
新しいサードパーティ製ライブラリやTomcatはYellowfinのリリースのタイミングでそのインストーラーやアップデーターにパッケージされます。
これらの対応は随時行われ、例外として脆弱性の危険性が非常に高く製品に影響がある場合や、影響がなくても注目度が高く影響の有無のお問い合わせを多く頂く場合はアナウンス記事を公開することがありますが、それ以外ではアナウンスは行なっておりません。
更新されたライブラリ、Tomcatに関してはリリースノートの各バージョンの「オープンソース関連」の項にまとめられていますでの必要に応じてご確認ください。
Tomcatで対応された脆弱性の詳細はTomcat公式ページのこちらから確認できます。
また、<インストールフォルダ>/legal/readme.txt にYellowfinに含まれているサードパーティライブラリが記載されています。
稼働中のYellowfinに含まれるサードパーティ製ライブラリを確認する場合は上記のファイルを参照してください。
注意事項
脆弱性のリスクを減らすために、ご注意いただきたいことがございます。
- 上述ように例外を除いて脆弱性に関してアナウンスは行なっておりません。
アナウンスがなくても脆弱性対応でサードパーティライブラリやTomcatが更新されることがございますのでご注意ください。 - Yellowfin 9.16未満のアップデーターではTomcatは更新されません。
稼働中のYellowfinのバージョンは最新でもTomcatは古いことがあります。
その場合はTomcatの脆弱性を内包したままになってしまいますのでご注意ください。
Tomcatを更新するにはこちらの記事を参照してください。 - Yellowfin 9.16以降のアップデーターでは途中のオプションで”Tomcatを同時にアップデートする”をONに指定することでTomcatを更新できます。