(公開)2022 年4 月4 日
インフォサイエンス株式会社
プロダクト事業部
平素は弊社製品 Logstorage をご利用いただきまして、誠にありがとうございます。
JPCERTより2022年4月1日に Spring Framework の脆弱性(CVE-2022-22965)について発表(※1)がございました。
また、Spring Cloud Function の脆弱性(CVE-2022-22963)についても発表(※2)されています。
※1:https://jvn.jp/vu/JVNVU94675398/
※2:https://tanzu.vmware.com/security/cve-2022-22963
2022年4月4日時点でのこれらの発表に基づき、本脆弱性と弊社製品に関する状況を以下の通り報告いたします。
1. CVE-2022-22965/Sprint Frameworkの脆弱性について
2022年4月4日のJPCERTの発表内容について、弊社製品においては、CVE-2022-22965 の影響を受ける製品はございません。詳細は以下となります。
【Spring Frameworkが含まれていない製品】
・Logstorage-X/SIEM
・EventLogCollector
・Logstorage Agent
・SBT Basic / SBT for WindowsEvent / SBT for Oracle
・Agent集中管理ツール
・各種連携パック・対応パック
【Spring Frameworkが含まれているが、影響を受けない製品】
・Logstorage
・ELC Analytics
※Logstorage(ELC Analyticsに含まれるLogstorageコンポーネントを含む)については、内部的にSpring Frameworkが同梱されておりますが、JPCERTより公開されている、外部から直接攻撃を受ける際のライブラリの利用方法とは異なるため、CVE-2022-22965 の影響を受けないと判断しております。
2. CVE-2022-22963/Spring Cloud Functions の脆弱性について
弊社リリースの全製品について、Spring Cloud Functionsは含まれていないため、CVE-2022-22963 の影響は受けません。
3. 連絡先
お問い合わせにつきましては、弊社サポートセンターまでお問い合わせください。
サポートセンターについては、以下URLからご確認ください。
https://logstorage.com/support/
4. その他
本内容は2022年4月4日までに発表された内容に基づき公開しております。
脆弱性についての公開状況が変わった場合は、本内容も変更される場合がございます。
変更される場合は、本URLにて更新を行います。
以上
