ニュース
無償グループウェア「GroupSession」に「Apache Struts」起因の脆弱性
最新版のv4.2.6で修正済み
(2014/5/8 14:17)
日本トータルシステム(株)は4月28日、無償で利用できるJava製の国産グループウェア「GroupSession」の最新版v4.2.6を公開した。本バージョンでは「Apache Struts」に起因する脆弱性が修正されている。
IPA(独立行政法人情報処理推進機構)によると、Java製のWebアプリケーションフレームワーク「Apache Struts 1」および「Apache Struts 2」の旧バージョン(v2.0.0からv2.3.16.1)には、“ClassLoader”を操作される脆弱性(CVE-2014-0094、CVE-2014-0112、CVE-2014-0113)が存在する。最悪の場合、リモートから任意のコードが実行される恐れがあり、すでに本脆弱性の悪用を試みたリクエストも確認されているという。
「GroupSession」では内部的に「Apache Struts 1」を利用しているため、脆弱性(CVE-2014-0094)の影響を受ける可能性がある。最新版のv4.2.6ではこの脆弱性への対策が施されているので、必ずアップデートしておきたい。また、本バージョンでは各機能で発見された不具合が多数修正されている。
「GroupSession」の動作には「Java 6」または「Java 7」が、J2EEコンテナとして「Apache Tomcat 6」または「Apache Tomcat 7」が必要。個人・法人やユーザー数を問わず無償で利用できる。現在、同社のWebサイトや窓の杜ライブラリからダウンロード可能。
ソフトウェア情報
- 「GroupSession」
-
- 【著作権者】
- 日本トータルシステム(株)
- 【対応OS】
- Windows XP/Server 2003/Vista/Server 2008/Server 2008 R2/7/8/Server 2012など(64bit版を含む)
- 【ソフト種別】
- フリーソフト
- 【バージョン】
- 4.2.6(14/04/28)
URL
- 無料グループウェア GroupSession
- http://www.gs.sjts.co.jp/
- リリース履歴(4.2.6) | 無料グループウェア Group Session
- http://www.gs.sjts.co.jp/v4/seihin/history_4_2_6.html
- 更新:Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113):IPA 独立行政法人 情報処理推進機構
- https://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html
- GroupSession - 窓の杜ライブラリ
- http://www.forest.impress.co.jp/library/software/groupsession/
(柳 英俊)