本資料は、TIBCO Spotfire Server製品におけるSpring Framework脆弱性(CVE-2022-22950、CVE-2022-22965)への緩和策について説明します。
また、本資料は上記Spring Framework脆弱性の影響を受けている機能の部分のみを対象にしています(TIBCO社資料記載の「Critical mitigation」部分に相当)。脆弱性のあるバージョンのSpring Frameworkを利用しているが影響を受けない部分(Server Tools、Node Managerなど)が本資料の対象外となります。これらの部分に緩和策を適用するにはTIBCO社資料(本資料の「参照資料」部分)をご参考に実施してください。
バージョン早見表
Spotfire Serverバージョン | 緩和策 |
7.11.9 LTS ~ 7.11.11 LTS | 手順① |
10.3.6 LTS ~ 10.3.12 LTS | 手順① |
10.3.13 LTS | 手順② |
10.10.0 LTS ~ 10.10.4 LTS | 手順① |
10.10.5 LTS ~ 10.10.10 LTS | 手順② |
11.0.0、11.1.0、11.2.0 | 手順① |
11.3.0 ~ 11.3.1 | 手順② |
11.4.0 LTS ~ 11.4.5 LTS | 手順② |
11.5.0、11.6.0 ~ 11.6.3、11.7.0、11.8.0 | 手順② |
ご利用されているSpotfire Serverバージョンに適する手順(①または②)を実施してください。
上記以外のバージョンを利用している場合には、これらの脆弱性への「解決策」としてリリースされた最新のサービス・パック・バージョン(10.10.11 LTS / 11.4.6 LTS / 11.8.1)へアップグレードするか、上表に記載されているバージョンにアップグレードしてから緩和策を実施する必要があります。
手順①
※1.以下の手順はSpotfire Server 10.3.12 LTSを例に説明しています。ほかのバージョンの場合はサービス名やファイルパスなどは実際のバージョンに合わせて読み替えて下さい。
※2.Spotfire Serverが複数のサーバーにインストールされている場合はすべてのサーバー内で同じ手順を実施する必要があります。
1.Spring Framework 5.2.20をダウンロードしてください。
2.ファイル「spring-5.2.20.RELEASE-dist.zip」を任意場所に解凍してください。
3.Spotfire Serverサービスを停止してください。
・TIBCO Spotfire Server 10.3.12 LTS
4.Spotfire Serverインストール先フォルダ(下記)を丸ごとコピーするなどでバックアップしてください。
5.OS管理者権限でコマンドプロンプトを起動し、以下のコマンドを実行してJARファイル(計13個)を差し替えてください。
※Spotfire Server 7.11.9 LTS ~ 7.11.11 LTS の場合はファイル「spring-websocket.jar」が未使用のためコピーする必要はありません。
※srcには解凍されたJARファイルの格納先フォルダのフルパスを指定してください。
※destにはSpotfire Serverのインストール先の対象フォルダのフルパスを指定してください。
set src="D:\temp\spring-5.2.20.RELEASE-dist\spring-framework-5.2.20.RELEASE\libs"
set dest="C:\tibco\tss\10.3.12\tomcat\webapps\spotfire\WEB-INF\lib"
copy /Y %src%\spring-aop-5.2.20.RELEASE.jar %dest%\spring-aop.jar
copy /Y %src%\spring-beans-5.2.20.RELEASE.jar %dest%\spring-beans.jar
copy /Y %src%\spring-context-5.2.20.RELEASE.jar %dest%\spring-context.jar
copy /Y %src%\spring-context-support-5.2.20.RELEASE.jar %dest%\spring-context-support.jar
copy /Y %src%\spring-core-5.2.20.RELEASE.jar %dest%\spring-core.jar
copy /Y %src%\spring-expression-5.2.20.RELEASE.jar %dest%\spring-expression.jar
copy /Y %src%\spring-jcl-5.2.20.RELEASE.jar %dest%\spring-jcl.jar
copy /Y %src%\spring-jdbc-5.2.20.RELEASE.jar %dest%\spring-jdbc.jar
copy /Y %src%\spring-oxm-5.2.20.RELEASE.jar %dest%\spring-oxm.jar
copy /Y %src%\spring-tx-5.2.20.RELEASE.jar %dest%\spring-tx.jar
copy /Y %src%\spring-web-5.2.20.RELEASE.jar %dest%\spring-web.jar
copy /Y %src%\spring-webmvc-5.2.20.RELEASE.jar %dest%\spring-webmvc.jar
copy /Y %src%\spring-websocket-5.2.20.RELEASE.jar %dest%\spring-websocket.jar
6.Spotfire Serverサービスを起動してください。
・TIBCO Spotfire Server 10.10.10 LTS
7.ブラウザからSpotfire Serverへログインできることを確認してください。
手順②
※1.以下の手順はSpotfire Server 10.10.10 LTSを例に説明しています。ほかのバージョンの場合はサービス名やファイルパスなどは実際のバージョンに合わせて読み替えて下さい。
※2.Spotfire Serverが複数のサーバーにインストールされている場合はすべてのサーバー内で同じ手順を実施する必要があります。
1.Spring Framework 5.3.18をダウンロードしてください。
https://repo.spring.io/artifactory/release/org/springframework/spring/5.3.18/spring-5.3.18-dist.zip
2.ファイル「spring-5.3.18-dist.zip」を任意場所に解凍してください。
3.Spotfire Serverサービスを停止してください。
・TIBCO Spotfire Server 10.10.10 LTS
4.Spotfire Serverインストール先フォルダ(下記)を丸ごとコピーするなどでバックアップしてください。
5.OS管理者権限でコマンドプロンプトを起動し、以下のコマンドを実行してJARファイル(計13個)を差し替えてください。
※srcには解凍されたJARファイルの格納先フォルダのフルパスを指定してください。
※destにはSpotfire Serverのインストール先の対象フォルダのフルパスを指定してください。
set src="D:\temp\spring-5.3.18-dist\spring-framework-5.3.18\libs"
set dest="C:\tibco\tss\10.10.10\tomcat\webapps\spotfire\WEB-INF\lib"
copy /Y %src%\spring-aop-5.3.18.jar %dest%\spring-aop.jar
copy /Y %src%\spring-beans-5.3.18.jar %dest%\spring-beans.jar
copy /Y %src%\spring-context-5.3.18.jar %dest%\spring-context.jar
copy /Y %src%\spring-context-support-5.3.18.jar %dest%\spring-context-support.jar
copy /Y %src%\spring-core-5.3.18.jar %dest%\spring-core.jar
copy /Y %src%\spring-expression-5.3.18.jar %dest%\spring-expression.jar
copy /Y %src%\spring-jcl-5.3.18.jar %dest%\spring-jcl.jar
copy /Y %src%\spring-jdbc-5.3.18.jar %dest%\spring-jdbc.jar
copy /Y %src%\spring-oxm-5.3.18.jar %dest%\spring-oxm.jar
copy /Y %src%\spring-tx-5.3.18.jar %dest%\spring-tx.jar
copy /Y %src%\spring-web-5.3.18.jar %dest%\spring-web.jar
copy /Y %src%\spring-webmvc-5.3.18.jar %dest%\spring-webmvc.jar
copy /Y %src%\spring-websocket-5.3.18.jar %dest%\spring-websocket.jar
6.Spotfire Serverサービスを起動してください。
・TIBCO Spotfire Server 10.10.10 LTS
7.ブラウザからSpotfire Serverへログインできることを確認してください。
補足(Spring Framework JARファイルのバージョンの確認)
以下の手順でSpring Framework JARファイルのバージョンを確認できます。
1.7zなどの解凍ソフトウェアで対象JARファイル(本例、spring-aop.jar)を開いてください。
2.ファイル「META-INF¥MANIFEST.MF」を表示してください。
3.Implementation-Version部分には該当JARファイルのバージョン(本例:5.3.14)を示しています。
参照資料
変更履歴
・2022/04/12 初版作成
・2022/04/13 一部訂正や追記
・脆弱性番号を訂正(CVE-2022-22963⇒CVE-2022-22950)
・「(TIBCO社資料記載の「Critical mitigation」部分に相当)」を追記
・「上記以外のバージョンを利用している場合には・・・」の部分を追記