ノーコードでクラウド上のデータとの連携を実現。
詳細はこちら →
Jetty のセキュリティに関するお知らせ
Jetty(バージョン10.0.20、11.0.20、12.0.7 までを含む)がWeb サーバーとして同梱されたCData 製品におけるセキュリティ脆弱性とその対応について
公開日: 03/27/2024 最終更新日: 03/27/2024
Eclipse Jetty Web サーバーのセキュリティに関する概要
CData API Server、CData Arc(ArcESB)、CData Connect(オンプレミス版)、およびCData Sync の各CData 製品について、お客様に影響を及ぼす可能性のある潜在的なセキュリティ上の問題が確認されました。本件は、該当する製品のクロスプラットフォーム(Java)版を実行しており、かつJetty(デフォルトの組み込みWeb サーバー)をご利用のお客様が対象となります。Windows(.NET)版をご利用の場合、またはTomcat などの別のサーブレットコンテナをWeb サーバーとして使用されている場合は、本件の対象ではありません。
詳細情報
セキュリティの潜在的な脆弱性が発見されました。悪意のある攻撃者が特定のエンドポイントにアクセスする際、通常は認証が必要であるにもかかわらず、アプリケーションの認証をバイパスできる可能性があります。CData は、信頼される第三者セキュリティ企業からの広範な通知の一部として、Eclipse Jetty でホストされている場合のこの脆弱性を認識しました。現時点では、お客様の環境で不正アクセスが発生した事例は報告されていません。
この脆弱性を悪用するには、以下の条件がそろう必要があります。
- 攻撃者がアプリケーションのバックエンドエンドポイントに関する知識を保有していること。
- 攻撃者が特別な方法でリクエストを細工し、Web サーバーにパストラバーサル(Path Traversal)を引き起こさせること。
- アプリケーションがJetty(バージョン10.0.20、11.0.20、12.0.7 までを含むすべて)でホストされていること。
対応策
弊社の開発チームとセキュリティチームは、この問題を解決するソフトウェアアップデートを提供しています。このお知らせに該当する条件にてアプリケーションをご利用のお客様は、至急最新版へのアップグレードをお願いいたします。
| 製品 | ダウンロードURL |
|---|---|
| CData API Server: (version: 23.4.8844+) |
https://www.cdata.com/jp/apiserver/download/ |
| CData Arc (ArcESB): (version: 23.4.8839+) |
https://arc.cdata.com/jp/support/builds/ |
| CData Connect: (version: 23.4.8846+) |
https://www.cdata.com/jp/connect/server/download/ |
| CData Sync: (version: 23.4.8843+) |
https://www.cdata.com/jp/sync/builds/ |
本記事に関するご意見、ご質問は弊社サポートチーム support@cdata.co.jp までご連絡ください。