Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Site menu starts here.

Skip site menu.

End of site menu.

Displaying present location in the site.

Main content starts here.

NEC製品セキュリティ情報

Spring Security と Spring Framework に認証回避の脆弱性

掲載番号:NV18-004
脆弱性情報識別番号:JVN#15643848

概要

Spring Security と Spring Framework には、認証回避の脆弱性が存在します。

対象製品

SystemDirector Enterprise

影響の有無

影響あり

対象となる製品のバージョン

SystemDirector Enterprise for Java Spring拡張サブモデル V9.0～V10（※）
SystemDirector Enterprise for Java Springサブモデル V6.0～V9.4（※）

（※）補足
本脆弱性によって影響を受ける Spring Framework のバージョンは以下のとおりです。
Spring Framework 5.0.0 - 5.0.2
4.3.0 - 4.3.13
上記のバージョンは SystemDirector Enterprise では使用しておりません。
しかし、公式見解では現在メンテナンスしていないバージョンについては未分析であり、上記以外も脆弱性の影響を受ける可能性がある、とされています。よって、上記以外の Spring Framework を利用している SystemDirector Enterprise についても本脆弱性の対象としています。

対処方法

SystemDirector Enterprise が提供する Spring Framework のパッチを適用してください。

パッチの詳細につきましては弊社営業にお問い合わせください。

参考情報

Japan Vulnerability Notes JVN#15643848:
Spring Security と Spring Framework に認証回避の脆弱性
https://jvn.jp/jp/JVN15643848/index.html

CVE-2018-1199:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1199

更新情報

2018/03/23: SystemDirector Enterprise を登録しました。