お知らせ

<続報>TIBCO Spotfire(Log4Shell)に関する対応について

平素よりTIBCO製品をご利用いただき誠にありがとうございます。
TIBCOのグローバルテクニカルサポートよりセキュリティ脆弱性に関する情報が発信されたため、下記に日本語ご参考訳をご案内させていただきます。

ご対応に当たっては下記のTIBCO社公式対応ページについて、必ずご確認いただきますようお願い致します。
[出典元] TIBCO-Spotfire-Mitigation-for-CVE-2021-44228-Log4Shell

TIBCO Spotfire Apache Log4Jの脆弱性対策について(バージョン2.3)

対象製品:TIBCO Spotfire Server , TIBCO Spotfire Statistics Services,
TIBCO Spotfire Service for Python, TIBCO Enterprise Runtime for R - Server Edition
リリース日:2021年12月22日
CVE番号:CVE-2021-44228, CVE-2021-45046, CVE-2021-45105
出典:TIBCO Software Inc.

影響を受けるソフトウェアとバージョン(CVE-2021-44228, CVE-2021-45046)

● TIBCO Spotfire Server

バージョン 影響の有無 解決策(サービスパック) 緩和策
< 7.9 無(log4j 1を使用)※1 - -
7.9-10.9 - 利用可能
10.1 利用可能 利用可能
11.0-11.3 - 利用可能
11.4 利用可能 利用可能
11.5 - 利用可能
11.6 利用可能 利用可能
表の続き →

● TIBCO Spotfire Statistics Services

バージョン 影響の有無 解決策(サービスパック) 緩和策
<= 10.3.0 無(log4j 1を使用)※1 - -
10.3.1 - 利用可能
10.10 利用可能 利用可能
11.1-11.3 - 利用可能
11.4 利用可能 利用可能
11.5 - 利用可能
11.6 利用可能 利用可能
表の続き →

● TIBCO Spotfire Service for Python

バージョン 影響の有無 解決策(サービスパック) 緩和策
1.0 利用可能 利用可能
1.1-1.2 - 利用可能
1.3 利用可能 利用可能
1.4 - 利用可能
1.5 利用可能 利用可能
表の続き →

● TIBCO Enterprise Runtime for R - Server Edition

バージョン 影響の有無 解決策(サービスパック) 緩和策
1.0-1.2 - 利用可能
1.3 利用可能 利用可能
1.4-1.6 - 利用可能
1.7 利用可能 利用可能
1.8 - 利用可能
1.9 利用可能 利用可能
表の続き →

※1:Apache Log4J Vulnerability Daily Update 内の「 Note 1」を参照ください。

影響を受けないソフトウェア

● TIBCO Spotfire Analyst
● TIBCO Spotfire Automation Services
● TIBCO Spotfire Qualification
● TIBCO Spotfire Business Author
● TIBCO Spotfire Consumer
● TIBCO Spotfire Desktop

サービス拒否(DoS)攻撃の脆弱性 CVE-2021-45105は、コンテキストルックアップを伴う特定のロギングパターンに関連しています。TIBCO Spotfire製品は、デフォルト設定以外のコンテキストルックアップを備えたパターンを使用していません。ただし、デフォルト設定以外のパターンを追加した場合は、これを元に戻す必要があります。詳細については、Apache Log4jのセキュリティ脆弱性を参照してください。

解決策

メインストリームバージョンとLTSバージョンの次のサービスパック(Log4j2をバージョン 2.16.0に更新)がeDelivery サイトからダウンロードできるようになりました。
これらのサービスパックにはCVE-2021-45046(および以前のサービスパックで対処されたCVE-2021-44228)の修正が含まれています。

● TIBCO Spotfire Server 11.6.3, 11.4.4, 10.10.9
● TIBCO Spotfire Statistics Services 11.6.2, 11.4.4, 10.10.7
● Python 1.5.2, 1.3.3, 1.0.5用の TIBCO Spotfire Service
● TIBCO Enterprise Runtime for R-Server Edition 1.9.2, 1.7.3, 1.3.5

12月 14日( log4shellとは関係ありません)および 12月15日( CVE-2021-44228のみに対応)にリリースされたサービスパックの いずれか をインストールした場合は、必ず 最新のサービスパックもインストールしてください。

緩和策

問題に対処する(推奨される)最新のサービスパックをインストールするオプションがない場合、緩和手順ドキュメント「Spotfire Mitigation for Log4Shell.pdf(バージョン 2.3)」 を参照してください。
これらの手順は、Log4j2のさまざまな脆弱なバージョンについてApacheによって文書化された緩和策に基づいています。

注)上記、緩和策手順ドキュメント「Spotfire Mitigation for Log4Shell.pdf」のバージョン1.xには、log4j2.formatMsgNoLookupsJavaオプションの設定に基づく緩和戦略が記載されています。
その緩和策は不完全であることが判明し、Apache Software Foundationによって撤回されました。
この緩和策を実行した場合、元に戻す理由はありませんが、必ず最新の緩和策の指示に従うようにしてください。

ドキュメント履歴

バージョン 日時 更新情報
バージョン2.3 2021年12月21日 terr-service.jarおよびpython-service.jarを更新する方法に関する誤った指示を修正
バージョン2.2 2021年12月20日 CVE-2021-45046に関する情報を更新し(このドキュメントのバージョン 1.xに基づく)既存の緩和策が保持される可能性があることを明確化
バージョン2.1 2021年12月18日 CVE2021-45105に関する情報で更新
バージョン2.0 2021年12月17日 CVE-2021-45046の緩和策の説明を更新
バージョン1.3 2021年12月15日 TIBCO Spotfire Server 7.11.5-7.11.11を含むように適用性を更新し、TIBCO Spotfire Statistics Servicesの手順を明確化
バージョン1.2 2021年12月13日 適用性の明確化、およびTERRおよびPythonサービスの説明
バージョン1.1 2021年12月13日 TIBCO Spotfire Server10.9-11.1の外部Igniteプロセスに関する手順を更新
バージョン1.0 2021年12月12日 初期バージョン

リファレンス

ApacheLog4Jの脆弱性の更新
KB 000045606 ApacheLog4Jの脆弱性とTIBCO製品およびサービスへの影響

本情報は、TIBCO社からの情報に基づき、日本語化して配信しております。
日本語化は随時行っておりますが、最新情報は随時更新されておりますので、ご対応に当たっては下記についてもご確認いただきますようお願い致します。
[出典元] TIBCO-Spotfire-Mitigation-for-CVE-2021-44228-Log4Shell