コメント

13件のコメント

  • 正式なコメント
    服部健太

    Kompiraでは、Apache Shiro、Apache CXF

    ともに使用しておりません。

    コメントアクション Permalink
  • 服部健太

    Kompira自体の脆弱性を公開しているサイトはございませんが、Kompiraが利用しているPostgresやApache、RabbitMQ、Djangoにつきましては、

    https://jvndb.jvn.jp/index.html

    で適宜公開されており、検索可能かと思います。

    0
    コメントアクション Permalink
  • 井上雄一

    JVNDB-2020-009384

    django-celery-results における重要な情報の平文保存に関する脆弱性

    https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-009384.html

    が見つかったのですが、Kompiraに影響のある脆弱性でしょうか?

    0
    コメントアクション Permalink
  • 服部健太

    Kompiraでは、djangoフレームワークは利用しておりますが、celeryは採用しておりませんので、特に影響は無いものと考えられます。

    0
    コメントアクション Permalink
  • 井上雄一

    Apache Tomcat 
    https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-013588.html
    Apache Solr
    https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-009602.html
    の脆弱性が見つかりましたが、Kompiraでは
    Apache Tomcat 
    Apache Solr
    は使用しているでしょうか?

    0
    コメントアクション Permalink
  • Ichiro Takahashi

    Kompira では Apache HTTP Server は利用しておりますが、Apache Tomcat および Apache Solr は使用しておりませんので、上記は影響ないものと考えられます。

    0
    コメントアクション Permalink
  • 井上雄一

    Apache Log4j
    https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-013606.html
    の脆弱性が見つかりましたが、Kompiraでは
    Apache Log4j
    は使用しているでしょうか?

    0
    コメントアクション Permalink
  • Ichiro Takahashi

    Kompira では Apache Log4j は利用しておりませんので、特に影響は無いものと考えられます。

    0
    コメントアクション Permalink
  • 井上雄一

    JVNDB-2020-010008
    Apache Shiro における認証に関する脆弱性
    JVNDB-2019-014099
    Apache CXF におけるクロスサイトスクリプティングの脆弱性
    の脆弱性が見つかりましたが、Kompiraでは
    Apache Shiro
    Apache CXF
    は使用しているでしょうか?

    0
    コメントアクション Permalink
  • 井上雄一

    Django、およびRabbitMQにて以下の脆弱性が検出されています。
    Komiraに影響あるでしょうか?


    Django
    https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-010756.html
    https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-010757.html
    RabbitMQ
    https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-010761.html

    0
    コメントアクション Permalink
  • Ichiro Takahashi

    現時点での最新版である Kompira v1.6.2.post1 では Django v3.0.5 を利用しておりますので、当該の脆弱性情報が示すバージョン範囲に該当いたします。実際に脆弱性が発現しうるかについての詳細な調査はできておりませんが、バージョンアップなどの対策を検討いたします。

    RabbitMQ につきましては、現状では 3.8.x 系ではなく 3.3.x など古いバージョンがインストールされるようになっており、当該の脆弱性情報が示すバージョン範囲には該当いたしません。しかし、利用しているバージョンが古くなっているため、こちらもバージョンアップが可能かなど検討いたします。

    0
    コメントアクション Permalink
  • 井上雄一

    いつもお世話になっております。
    以下の脆弱性に関して、Kompiraに影響があるものはありますでしょうか?
    教えてください。
    よろしくお願いいたします。

    関連ID:JVNDB-2020-000081
    通知タイトル: Apache Cordova Plugin camera における情報漏えいの脆弱性
    詳細情報:
    https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-000081.html
    関連ID:JVNDB-2020-000084
    通知タイトル:Apache Struts 2 において任意のコードが実行可能な脆弱性 (S2-061)
    詳細情報:
    https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-000084.html
    関連ID:JVNDB-2020-010008
    通知タイトル:Apache Shiro における認証に関する脆弱性
    詳細情報:
    https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-010008.html
    関連ID:JVNDB-2020-010195
    通知タイトル:PostgreSQL における制御されていない検索パスの要素に関する脆弱性
    詳細情報:
    https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-010195.html
    関連ID:JVNDB-2019-009755
    通知タイトル:Apache HTTP Server におけるクロスサイトスクリプティングの脆弱性
    詳細情報:
    https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-009755.html
    関連ID:JVNDB-2020-010549
    通知タイトル:Apache Cassandra における誤った領域へのリソースの漏えいに関する脆弱性
    詳細情報:
    https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-010549.html

    0
    コメントアクション Permalink
  • Ichiro Takahashi

    Kompira では現時点で Apache プロジェクトのうち HTTP Server しか利用しておりませんので、その他の Cordova, Struts, Shiro, Cassandra については影響はないものと考えます。

    Apache HTTP Server については、Kompira をインストールする対象 OS およびインストールを実施した時期によっては、脆弱性情報に記載されたバージョンに該当するものがインストールされている可能性はあるかと思います。手元の CentOS7 環境では httpd-2.4.6 ですが、CentOS8 環境では httpd-2.4.37 となっております。

    PostgreSQL も同様に、インストールする環境と時期によることになります。手元の CentOS7 環境では 12.5 がインストールされていますが、CentOS8 環境では 12.3 (構築時期がすこし古いため)となっていました。

    このように環境とインストール時期によっては、該当するバージョンがインストールされている場合もあり、影響を受ける可能性はあるかと思います。

    0
    コメントアクション Permalink

サインインしてコメントを残してください。