TIBCO社から文字列の処理機能を提供するライブラリであるApache Commons Text (Text4Shell)の脆弱性に関する記事 がリリースされました。
本記事は日本国内で該当製品をご利用中のお客様に向けてご案内することを目的としております。
詳細については出典URLに記載のTIBCO社から公表されている記事をご確認ください。
TIBCO Data VirtualizationにおけるApache Commons Text (Text4Shell)の脆弱性に対する対応策について
対象製品:TIBCO Data Virtualization
リリース日:2022年11月14日
最終更新日:2022年11月18日
CVE識別番号:CVE-2022-42889
CVSS v3 基本値:9.8
出典URL:https://support.tibco.com/s/article/TIBCO-Data-Virtualization-Resolution-and-Mitigation-for-the-Apache-Commons-Text-Text4Shell-Vulnerability
影響を受ける製品
- TIBCO Data Virtualizationの全てのバージョン
内容
詳細
TIBCO社では最近発表された Apache Commons Text の脆弱性(CVE-2022-42889)、通称「Text4Shell」について認識しています。
この脆弱性により、悪意のある攻撃者が文字列の補間を利用して任意のコードを実行できる可能性があります。
この件に関するTIBCO社による全般的な調査については、TIBCO Public Notice Text4Shell Vulnerability Update をご参照ください。
この記事では、特にTIBCO Data Virtualization がどのように影響を受けるかについての追加情報を提供します。
解決策
TIBCO 社より、この問題に対処するために新しいバージョンがリリースされています。
TIBCO eDelivery より、以下のバージョンをダウンロードし、アップグレードしてください。
- TIBCO Data Virtualization 8.6.1
- TIBCO Data Virtualization 8.5.5
もし、TIBCO Data Virtualizaion 8.3.x 、8.4.x もしくは 8.5.x をご利用中であり、今後も同じバージョンをご利用する必要がある場合は、以下の手順に従い対応策を実施してください。
以下の手順は TDV 8.5.x に対しても実施することは可能ですが、8.5.x をご利用中の場合は上記のとおり 8.5..5 へのアップグレードの実施を推奨します。
対応策を実施する際には、[インストールディレクトリ]
や[XXXインストールディレクトリ]
という文字列は適宜置換してコマンドを実施してください。
1. monitor停止
以下のコマンドを実行し、monitorを停止させます。
TDV Server の場合:
{TDV Serverインストールディレクトリ]/bin/composite.sh/bat monitor stop
Business Directory の場合:
{Business Directoryインストールディレクトリ]/bin/bd.sh/bat monitor stop
以降に示す手順は、TDV Server、Business Directory、Studioいずれにおいても同じです。
各インストールディレクトリは [インストールディレクトリ]
と記載します。
2. [インストールディレクトリ]/apps/common/lib
配下にある特定のファイルを削除
各インストールディレクトリ配下に存在する以下のファイルを削除します。
- htmlunit-cssparser-1.5.0.jar
- commons-text-1.8.jar
- commons-net-3.6.jar
- salvation-2.7.1.jar
- htmlunit-2.40.0.jar
- htmlunit-core-js-2.40.0.jar
手順は以下のとおりです。
UNIXの場合:
a) シェルを起動します。
b) 以下を実行します。
cd [インストールディレクトリ]/apps/common/lib
rm -f htmlunit* commons-text* commons-net* salvation*
ls htmlunit* commons-text* commons-net* salvation*
c) 上記コマンドを実行した結果、以下の例ようにファイルが削除されていることを確認します。
ls: cannot access htmlunit*: No such file or directory
ls: cannot access commons-text*: No such file or directory
ls: cannot access commons-net*: No such file or directory
ls: cannot access salvation*: No such file or directory
Windows:
a) コマンドプロンプトを起動します。
b) 以下を実行します。
cd [インストールディレクトリ]\apps/common\lib
del /F htmlunit* commons-text* commons-net* salvation*
dir htmlunit* commons-text* commons-net* salvation*
c) 上記コマンドを実行した結果、以下の例のようにファイルが削除されていることを確認します。
D:\TIBCO\TDV Server 8.3.1\apps\common\lib>dir htmlunit* commons-text* commons-net* salvation* Volume in drive D has no label. Volume Serial Number is 3286-D279 Directory of D:\TIBCO\TDV Server 8.3.1\apps\common\lib Directory of D:\TIBCO\TDV Server 8.3.1\apps\common\lib Directory of D:\TIBCO\TDV Server 8.3.1\apps\common\lib Directory of D:\TIBCO\TDV Server 8.3.1\apps\common\lib File Not Found
3. files.md5
という名前のファイルを [インストールディレクトリ]/apps/common/lib
直下に作成し、以下の内容を記述し保存
d4b7197bf50afc96e2fa2657a339f037 commons-net-3.8.0.jar 4afc9bfa2d31dbf7330c98fcc954b892 commons-text-1.10.0.jar 2a5fa18c10f5e41e3e6d51f4903e1d54 htmlunit-2.66.0.jar c9c82b54ad8af5bd33f014cc8a08f31b htmlunit-core-js-2.66.0.jar 0393efbeb24dca7bec4b2ddab6cbd1bb htmlunit-cssparser-1.12.0.jar 5ced1161fd1f6d77fb3887cbe7dde76c htmlunit-xpath-2.66.0.jar 128540bd72fe46e53c6a0cfe49c1670e salvation2-3.0.1.jar
4. jarファイルをダウンロードし、[インストールディレクトリ]/apps/common/lib
直下に配置
UNIXの場合:
a) シェルを起動します。
b) 以下を実行します。
cd [インストールディレクトリ]/apps/common/lib
wget https://repo1.maven.org/maven2/net/sourceforge/htmlunit/htmlunit-cssparser/1.12.0/htmlunit-cssparser-1.12.0.jar
wget https://repo1.maven.org/maven2/net/sourceforge/htmlunit/htmlunit-xpath/2.66.0/htmlunit-xpath-2.66.0.jar
wget https://repo1.maven.org/maven2/org/apache/commons/commons-text/1.10.0/commons-text-1.10.0.jar
wget https://repo1.maven.org/maven2/commons-net/commons-net/3.8.0/commons-net-3.8.0.jar
wget https://repo1.maven.org/maven2/com/shapesecurity/salvation2/3.0.1/salvation2-3.0.1.jar
wget https://repo1.maven.org/maven2/net/sourceforge/htmlunit/htmlunit/2.66.0/htmlunit-2.66.0.jar
wget https://repo1.maven.org/maven2/net/sourceforge/htmlunit/htmlunit-core-js/2.66.0/htmlunit-core-js-2.66.0.jar
Windowsの場合:
a) コマンドプロンプトを起動します。
b) 以下を実行します。
cd [インストールディレクトリ]\apps/common\lib
wget https://repo1.maven.org/maven2/net/sourceforge/htmlunit/htmlunit-cssparser/1.12.0/htmlunit-cssparser-1.12.0.jar
wget https://repo1.maven.org/maven2/net/sourceforge/htmlunit/htmlunit-xpath/2.66.0/htmlunit-xpath-2.66.0.jar
wget https://repo1.maven.org/maven2/org/apache/commons/commons-text/1.10.0/commons-text-1.10.0.jar
wget https://repo1.maven.org/maven2/commons-net/commons-net/3.8.0/commons-net-3.8.0.jar
wget https://repo1.maven.org/maven2/com/shapesecurity/salvation2/3.0.1/salvation2-3.0.1.jar
wget https://repo1.maven.org/maven2/net/sourceforge/htmlunit/htmlunit/2.66.0/htmlunit-2.66.0.jar
wget https://repo1.maven.org/maven2/net/sourceforge/htmlunit/htmlunit-core-js/2.66.0/htmlunit-core-js-2.66.0.jar
5. ダウンロードしたファイルのMD5チェックサムが3で作成したファイルの内容と一致することを確認
UNIXの場合:
a) シェルを起動します。
b) 以下を実行します。
cd [インストールディレクトリ]/apps/common/lib
md5sum -c file.md5
c) 上記コマンドを実行した結果、以下の例のように出力されハッシュ値が一致していることを確認します。
commons-net-3.8.0.jar: OK commons-text-1.10.0.jar: OK htmlunit-2.66.0.jar: OK htmlunit-core-js-2.66.0.jar: OK htmlunit-cssparser-1.12.0.jar: OK htmlunit-xpath-2.66.0.jar: OK salvation2-3.0.1.jar: OK
Windowsの場合:
a) コマンドプロンプトを起動します。
b) 以下を実行します。
cd [インストールディレクトリ]\apps/common\lib
certutil -hashfile commons-net-3.8.0.jar MD5
certutil -hashfile commons-text-1.10.0.jar MD5
certutil -hashfile htmlunit-2.66.0.jar MD5
certutil -hashfile htmlunit-core-js-2.66.0.jar MD5
certutil -hashfile htmlunit-cssparser-1.12.0.jar MD5
certutil -hashfile htmlunit-xpath-2.66.0.jar MD5
certutil -hashfile salvation2-3.0.1.jar MD5
c) 上記コマンドを実行した結果、以下の例のように出力されハッシュ値が一致していることを確認します。
D:\TIBCO\TDV Server 8.3.1\apps\common\lib>certutil -hashfile salvation2-3.0.1.jar MD5 MD5 hash of salvation2-3.0.1.jar: 128540bd72fe46e53c6a0cfe49c1670e CertUtil: -hashfile command completed successfully.
6. TDV Server、Business Directory、TDV Studio を再起動