Actionista! ETLオプションの ScriptRunner について、ハードコードされた暗号鍵の脆弱性(CWE-321)があることが判明しました。
本脆弱性は、Actionista! ETLオプションの最新バージョン(Ver.3.0.2)で修正済みです。
ScriptRunner をご利用の場合、下記内容をご確認ください。
- Actionista! ETLオプション 全バージョン
- ScriptRunner
ScriptRunner を使用していない(起動設定ファイルを作成していない)場合は、影響はありません。
当該製品にアクセス可能な攻撃者が ScriptRunner の起動設定ファイルを入手した場合に、ハードコードされた暗号鍵を使用して暗号化されている認証情報を復号される可能性があります。
対応するパッチモジュールを適用して、起動設定ファイルに対して、必要な手順を実施してください。
パッチモジュールは、2023年05月時点で、Actionista! ETLオプションの保守にご加入いただいているお客様にご提供しております。
本件についてのお問い合わせは、テクニカルサポート窓口までお願いいたします。
tech-support@justsystems.com(対応時間:弊社営業日 9:30〜11:45 / 12:45〜18:00)