在Spring Framework库中发现了可以启用远程代码执行的漏洞（CVE未识别）。
本FAQ介绍了有关这些漏洞对intra-mart产品的影响。

目前，本公司确认的Spring4Shell漏洞的成立条件如下。

正在使用Java9及以上版本。
（intra-mart产品的支持环境包含Java11）
内置Spring Framework中创建的应用程序。
（TERASOLUNA Server Framework for Java (5.x) for Accel Platform内置Spring Framework）
存在接受内容类别为application/x-www-form-urlencoded格式请求的应用程序。
未在应用程序开发中使用denyList，或者没有阻止使用class、module、classLoader等参数名的请求。

除上述条件外，RCE成立还需要以下条件。

* 在应用程序服务器中使用Tomcat。
* 为Tomcat部署Web应用程序

本公司产品Accel平台不支持应用程序服务器Tomcat。
因此，目前还未确认RCE（远程代码执行）立即成立的处理。

另外，我们还确认了作为路径遍历漏洞收到影响的事例。
其发生条件如下

* 在应用程序服务器中使用Payara Server。

本公司产品Accel平台支持应用程序服务器Payara Server。
如果使用了Payara Server，可以通过应用以下补丁来回避问题。
* https://issue.intra-mart.jp/issues/34435

＜有影响的产品＞

* intra-mart Accel Platform
　使用IM-Juggling工具，在Accel Platform的结构中导入了TERASOLUNA Framework的环境为受影响的对象。

  本公司产品Accel平台不支持应用程序服务器Tomcat。
  因此，目前还未确认RCE（远程代码执行）立即成立的处理。

　但是，我们已经确认如果在应用程序服务器中使用Payara Server的情况下，作为路径遍历漏洞会受到影响。
　可以通过应用以下补丁来回避问题。
　* https://issue.intra-mart.jp/issues/34435

* IM-SecureSignOn
　　VANADIS 产品的制造方已经发布了正式通知。
　　详细情况请确认附件(cve-2022-22965_patch.zip)。
　　我们在这将记载一部分通知里的内容。

　　受到影响的产品
　　　以下产品会受到漏洞的影响。
　　　・ VANADIS SecureJoin SSO Server Ver6.5.4.0.1 及之后的版本
　　　・ VANADIS SecureJoin SSO Server テストモード Ver6.5.4.0.1 及之后的版本
　　　・ VANADIS 密码管理服务器 Ver2.0.0 及之后的版本
　　　・ VANADIS IdentityManager Ver6.4.2.07.00 及之后的版本

　　受到影响的条件
　　　满足以下条件的情况下，可能会受到漏洞的影响。
　　　・ 使用了上述受影响的产品
　　　※ 关于VANADIS IdentityManager 仅限于使用申请功能的情况
　　　・ 使用JDK9 以上
　　　・ 在应用服务器中使用了 Apache Tomcat 
　　　・ 已WAR的格式进行发布

　　关于附件
　　　附件(cve-2022-22965_patch.zip) 是
　　　IM-SecureSignOn for Accel Platform 2020 Winter 专用的补丁文件。
　　　如果您使用的是IM-SecureSignOn for Accel Platform 2019 Winter 的情况下，、
　　　请先升级至IM-SecureSignOn for Accel Platform 2020 Winter后，、
　　　再应用补丁。

　　关于产品下载网站的资材
　　　在产品下载网站中提供的 IM-SecureSignOn-8.0.5-PATCH_001.zip 里已经应用了通知中记载的应对内容。
　　　新构建环境的时候，请使用IM-SecureSignOn-8.0.5-PATCH_001.zip。
　　・ https://issue.intra-mart.jp/issues/34403


＜不受影响的产品＞

已经确认下记产品中没有使用Spring Framework。

* intra-mart WebPlatform / AppFramework
* intra-mart BaseModule
* intra-mart Accel Collaboration（包含电子会议室和问卷调查）
* intra-mart Accel Documents
* intra-mart Accel Documents Secure Download Option
* IM-ContentsSearch for Accel Platform
* intra-mart DPS 系列
* IM-Sign for Accel Platform
* IM-RPA for Accel Platform
* IM-BPM for Accel Platform
* IM-BloomMaker for Accel Platform
* Accel Studio
* IM-FormaDesigner for Accel Platform
* IM-BIS for Accel Platform
* IM-Spreadsheet for Accel Platform
* intra-mart e Builder for Accel Platform
* IM-Juggling
* 中间件（经由Product File Download发布的产品）
* Caucho Resin

<关于云服务>

*Accel-Mart Quick
  未使用Spring Framework。
*Accel-Mart Plus
  取决于为环境部署的Accel Platform的配置。

<关于周边中间件产品>

关于Web服务器、数据库等客户引进的中间件产品，请咨询各供应商。

-- 适用对象 ------------------------------------------------------------------------
iAP/Accel Platform/所有更新
iAP/Accel Extensions/所有系列
iAP/Accel Applications/所有系列
 --------------------------------------------------------------------------------


FAQID:1154