Logstorageおよび各製品に対するSpring 関連の脆弱性(CVE-2022-22965、CVE-2022-22963)の影響について | 【公式】統合ログ管理システム Logstorage

Logstorageおよび各製品に対するSpring 関連の脆弱性(CVE-2022-22965、CVE-2022-22963)の影響について

(公開)2022 年4 月4 日
インフォサイエンス株式会社
プロダクト事業部

平素は弊社製品 Logstorage をご利用いただきまして、誠にありがとうございます。

JPCERTより202241日に Spring  Framework の脆弱性(CVE-2022-22965)について発表(※1)がございました。

また、Spring Cloud Function の脆弱性(CVE-2022-22963)についても発表(※2)されています。

202244日時点でのこれらの発表に基づき、本脆弱性と弊社製品に関する状況を以下の通り報告いたします。

1. CVE-2022-22965/Sprint Frameworkの脆弱性について

202244日のJPCERTの発表内容について、弊社製品においては、CVE-2022-22965 の影響を受ける製品はございません。詳細は以下となります。

Spring Frameworkが含まれていない製品】

Logstorage-X/SIEM

EventLogCollector

Logstorage Agent

SBT Basic / SBT for WindowsEvent / SBT for Oracle

Agent集中管理ツール

・各種連携パック・対応パック

Spring Frameworkが含まれているが、影響を受けない製品】

Logstorage

ELC Analytics

LogstorageELC Analyticsに含まれるLogstorageコンポーネントを含む)については、内部的にSpring Frameworkが同梱されておりますが、JPCERTより公開されている、外部から直接攻撃を受ける際のライブラリの利用方法とは異なるため、CVE-2022-22965 の影響を受けないと判断しております。

2. CVE-2022-22963/Spring Cloud Functions の脆弱性について

弊社リリースの全製品について、Spring Cloud Functionsは含まれていないため、CVE-2022-22963 の影響は受けません。

3. 連絡先

お問い合わせにつきましては、弊社サポートセンターまでお問い合わせください。

サポートセンターについては、以下URLからご確認ください。

4. その他

本内容は202244日までに発表された内容に基づき公開しております。

脆弱性についての公開状況が変わった場合は、本内容も変更される場合がございます。

変更される場合は、本URLにて更新を行います。

以上

PAGE TOP