脆弱性に関する情報公開

Logstorage および各製品に対する Apache Commons Text の脆弱性 CVE-2022-42889 の影響について【2022年11月17日更新】

(更新) 2022年 11月 17日

(公開) 2022年 10月 26日
インフォサイエンス株式会社
プロダクト事業部

 平素は弊社製品 Logstorage をご利用いただきまして、誠にありがとうございます。

米国標準技術研究所(”National Institute of Standards and Technology”、以下「NIST」)より2022年10月13日に Apache Commons Text の脆弱性(CVE-2022-42889)について発表(※1)がございました。

※1:https://nvd.nist.gov/vuln/detail/CVE-2022-42889

2022年10月26日時点での発表に基づき、本脆弱性と弊社製品に関する状況を以下の通り報告いたします。

1. 本脆弱性について

1.1. 弊社製品への影響について

2022年10月26日現在の調査状況についてご報告します。

※以下、バージョンの記載がない製品については、当該製品のリリース済の全バージョンについて影響がないことを確認しております。

【調査の結果、本脆弱性の影響を受けないことが判明した製品】

・Logstorage
・Logstorage Agent
・Logstorage Secure Batch Transfer
・Logstorage SBT for Oracle
・Logstorage Agent 集中管理ツール
・Logstorage AD ログオン・ログオフスクリプト

【2022年11月17日 更新】
前回発表時に調査中としていた各製品について、以下の通り報告いたします。
【脆弱性のあるバージョンのライブラリを同梱しているが、利用していないため、影響を受けない製品】
・Logstorage X/SIEM(※2)
・Logstorage 突合コマンドオプション(※2)
【脆弱性のあるバージョンのライブラリを同梱・利用しているが、外部から影響を直接受けることがない製品】
・Logstorage EventLogCollector Ver. 2.10.0 のみ(※2)
・Logstorage SBT for WindowsEvent Ver. 1.8.0 のみ(※2)
【本脆弱性の影響を受けない製品】
※脆弱性のないバージョンのライブラリを同梱しているものを含みます。
・Logstorage EventLogCollector Ver. 2.9.1A 以下全てのバージョン
・Logstorage SBT for WindowsEvent Ver. 1.7.2 以下全てのバージョン
・Logstorage ELC Analytics
・すべての連携パック
※2の各製品については、次期バージョン出荷時に脆弱性のあるライブラリのバージョンを更新の上出荷いたします。

2. 連絡先

お問い合わせにつきましては、弊社サポートセンターまでお問い合わせください。

サポートセンターについては、以下URLからご確認ください。

https://logstorage.com/support/service/

3. その他

本内容は2022年10月26日までに発表された内容に基づき公開しております。

脆弱性についての公開状況が変わった場合は、本内容も変更される場合がございます。

変更される場合は、本URLにて更新を行います。

以上

TOP