kompiraの脆弱性情報について
kompiraの脆弱性に関して、公開しているサイト等はありますでしょうか?
-
正式なコメント
Kompiraでは、Apache Shiro、Apache CXF
ともに使用しておりません。
コメントアクション -
Kompira自体の脆弱性を公開しているサイトはございませんが、Kompiraが利用しているPostgresやApache、RabbitMQ、Djangoにつきましては、
https://jvndb.jvn.jp/index.html
で適宜公開されており、検索可能かと思います。
-
JVNDB-2020-009384
django-celery-results における重要な情報の平文保存に関する脆弱性
https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-009384.html
が見つかったのですが、Kompiraに影響のある脆弱性でしょうか? -
Apache Tomcat
https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-013588.html
Apache Solr
https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-009602.html
の脆弱性が見つかりましたが、Kompiraでは
Apache Tomcat
Apache Solr
は使用しているでしょうか? -
Apache Log4j
https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-013606.html
の脆弱性が見つかりましたが、Kompiraでは
Apache Log4j
は使用しているでしょうか? -
Django、およびRabbitMQにて以下の脆弱性が検出されています。
Komiraに影響あるでしょうか?
Django
https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-010756.html
https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-010757.html
RabbitMQ
https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-010761.html -
現時点での最新版である Kompira v1.6.2.post1 では Django v3.0.5 を利用しておりますので、当該の脆弱性情報が示すバージョン範囲に該当いたします。実際に脆弱性が発現しうるかについての詳細な調査はできておりませんが、バージョンアップなどの対策を検討いたします。
RabbitMQ につきましては、現状では 3.8.x 系ではなく 3.3.x など古いバージョンがインストールされるようになっており、当該の脆弱性情報が示すバージョン範囲には該当いたしません。しかし、利用しているバージョンが古くなっているため、こちらもバージョンアップが可能かなど検討いたします。
-
いつもお世話になっております。
以下の脆弱性に関して、Kompiraに影響があるものはありますでしょうか?
教えてください。
よろしくお願いいたします。
関連ID:JVNDB-2020-000081
通知タイトル: Apache Cordova Plugin camera における情報漏えいの脆弱性
詳細情報:
https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-000081.html
関連ID:JVNDB-2020-000084
通知タイトル:Apache Struts 2 において任意のコードが実行可能な脆弱性 (S2-061)
詳細情報:
https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-000084.html
関連ID:JVNDB-2020-010008
通知タイトル:Apache Shiro における認証に関する脆弱性
詳細情報:
https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-010008.html
関連ID:JVNDB-2020-010195
通知タイトル:PostgreSQL における制御されていない検索パスの要素に関する脆弱性
詳細情報:
https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-010195.html
関連ID:JVNDB-2019-009755
通知タイトル:Apache HTTP Server におけるクロスサイトスクリプティングの脆弱性
詳細情報:
https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-009755.html
関連ID:JVNDB-2020-010549
通知タイトル:Apache Cassandra における誤った領域へのリソースの漏えいに関する脆弱性
詳細情報:
https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-010549.html -
Kompira では現時点で Apache プロジェクトのうち HTTP Server しか利用しておりませんので、その他の Cordova, Struts, Shiro, Cassandra については影響はないものと考えます。
Apache HTTP Server については、Kompira をインストールする対象 OS およびインストールを実施した時期によっては、脆弱性情報に記載されたバージョンに該当するものがインストールされている可能性はあるかと思います。手元の CentOS7 環境では httpd-2.4.6 ですが、CentOS8 環境では httpd-2.4.37 となっております。
PostgreSQL も同様に、インストールする環境と時期によることになります。手元の CentOS7 環境では 12.5 がインストールされていますが、CentOS8 環境では 12.3 (構築時期がすこし古いため)となっていました。
このように環境とインストール時期によっては、該当するバージョンがインストールされている場合もあり、影響を受ける可能性はあるかと思います。
サインインしてコメントを残してください。
コメント
13件のコメント