[緊急]Wagbyが利用しているSpringフレームワークの脆弱性情報について

Wagbyをご利用の皆様

セキュリティ上の懸念を報告いたします。
Wagbyが内部で利用しているSpringフレームワークに重大な脆弱性が発見されま
した。
Wagbyのメーカであるジャスミンソフト社より、現時点の速報としてご報告申し上げます。

■ ニュースのソース
「Spring Core」にゼロデイ脆弱性「Spring4Shell」の指摘
https://www.security-next.com/135304

行政サービスの共通認証「GビズID」が停止 – 「Spring4Shell」影響で
https://www.security-next.com/135341

■ すぐにできる回避策
Spring4Shellなんてあるんですか？
https://qiita.com/SnykSec/items/8d6892d856b80505570d

■ 公式の情報
CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+
https://tanzu.vmware.com/security/cve-2022-22965

(1) Java 8 を使う
Java 8 でビルドし、運用しているアプリケーションは現時点で影響を
受けないようだ、となっています。
Java 9 以上をご利用の場合、DesignerのJavaバージョンを 1.8 に
変更してフルビルド、本番運用サーバも Java 8 に変えた上で
運用することをお勧め致します。

(2) Spring 本体の修正対応は週明けになる見通し
Spring 本体が修正されましたら、jar ファイルの差し替えをメーカで試し、
動作確認できましたらパッチを出すようにいたします。おそらく来週以降の対応となるため
まず (1) で回避ください。

(3) Wagby 本体の修正
今回発見された Spring の脆弱性に該当するコードは一箇所のみでした。
具体的にはログオン画面のみです。
そこで、この修正をおこなった Wagby のパッチもご用意しようとして
おります。これを適用することで (1) (2) の対応なしで本件を回避できる
見込みです。現在、こちらの準備を先行して行なっております。

なお (2) (3) は現時点の最新である R8.5.9/R9.1.0 向けのパッチと
なります。それより前の Wagby については PatchOffer で個別に
ご提供いたします。
個別(旧)バージョンのPatchをご所望の場合は、お申しつけください。

こちらの準備ができましたら続報を出しますので、現時点で「メーカーにて
問題を認識しており、最優先で対応中」であることをお伝えいたします。