Jetty セキュリティに関するお知らせ
CData は、Jetty 組み込み Web サーバー(バージョン 10.0.20、11.0.20、12.0.7 以前)に潜在的なセキュリティの問題があることを認識しています。
Date Entered: 03/25/2024 Last Updated: 03/26/2024
Eclipse Jetty 組み込み Web サーバーのセキュリティについて
CData API Server、CData Arc(ArcESB)、CData Connect(オンプレミス版)、CData Sync をご利用のお客様に影響するセキュリティの問題が確認されました。この問題は、これらの製品の Java Edition をご利用で、Jetty(デフォルトの組み込み Web サーバー)を使用しているお客様に該当します。.NET 版をご利用の場合、または Tomcat など他のサーブレットコンテナを Web サーバーとして使用している場合は、本通知は該当しません。
詳細
通常は認証が必要な特定のエンドポイントにアクセスする際に、悪意のある攻撃者がアプリケーション認証をバイパスできる可能性のあるセキュリティ脆弱性が確認されました。CData は、広範な通知の一環として、第三者のセキュリティ企業を通じて Eclipse Jetty でホストされている場合のこの脆弱性について報告を受けました。現時点では、お客様の環境が侵害されたという報告は確認されておりません。
この脆弱性が悪用されるには、以下の条件が必要です:
- 攻撃者がアプリケーションのバックエンドエンドポイントに関する知識を持っていること
- 攻撃者が Web サーバーにパストラバーサルを引き起こすような特殊なリクエストを作成すること
- アプリケーションが Jetty(バージョン 10.0.20、11.0.20、12.0.7 以前)でホストされていること
対応策
CData のエンジニアリングチームとセキュリティチームは、この問題を解消するソフトウェアアップデートを提供いたしました。本通知に記載されているアプリケーションをご利用の場合は、最新リリースへのアップグレードをお願いいたします。
| 製品 | ダウンロード URL |
|---|---|
| CData API Server: (バージョン: 23.4.8844 以降) |
https://jp.cdata.com//apiserver/download/ |
| CData Arc(ArcESB): (バージョン: 23.4.8839 以降) |
https://arc.cdata.com/jp/support/builds/ |
| CData Connect: (バージョン: 23.4.8846 以降) |
https://jp.cdata.com//connect/server/download/ |
| CData Sync: (バージョン: 23.4.8843 以降) |
https://jp.cdata.com//sync/builds/ |
詳細情報
セキュリティ企業 Tenable は、Jetty でホストされている場合の CData 製品の Java バージョンに影響を与えるパストラバーサル脆弱性を発見し、正式な CVE 通知を提出しました。これはリスクスコア 8.0 以上の重要な CVE 通知です。現在、NIST による確認待ちの状態です。
| NVD 公開日 | 04/05/2024 | CVE 辞書エントリ |
CVE-2024-31848 CVE-2024-31849 CVE-2024-31850 CVE-2024-31851 |
We appreciate your feedback. If you have any questions, comments, or suggestions about this entry, please contact our support team at support@cdata.co.jp.
