セキュリティアドバイザリ:Apache Commons Text の CVE-2022-42889
| アドバイザリ ID: | appd-sa-cve-2022-42889 | CVE-2022-42889 CWE-94 | |
| 初版: |
2022 年 10 月 24 日 14:00 PDT | ||
| 最終更新日: |
2022 年 12 月 16 日 13:00 PST | ||
| バージョン 1.7: | Final | ||
| 回避策: |
不要 | ||
| CVSSスコア: |
Base 9.8 |
概要
2022 年 10 月 13 日、 Apache は、1.5 ~ 1.9 の commons-text のバージョンに影響を与える Apache Commons Text ライブラリの重大な脆弱性(CVE-2022-42889)を公開しました。Apache は、この脆弱性に対処するためにバージョン 1.10.0 をリリースしました。
サードパーティソフトウェアの設定と導入にはさまざまな方法があるため、このライブラリの脆弱バージョンが存在しているだけで、AppDynamics ソフトウェアが脆弱になるとは限りません。AppDynamics では、影響を受ける製品があるかどうかを判断するために製品を評価し、以下のように製品固有のガイダンスを用意しています。
このアドバイザリは、AppDynamics のお客様がオンプレミスでデプロイし、適宜アクションを実行する必要がある製品に対処することを目的としています。
AppDynamics SaaS プラットフォームは継続的に監視され、改善されています。この脆弱性が SaaS のお客様に影響を与える場合は、標準規格のサポートチャネルを通じてお客様に直接ご連絡します。
このアドバイザリは、次のリンクから入手できます。https://docs.appdynamics.com/display/PAA/Security+Advisory%3A+CVE-2022-42889+in+Apache+Commons+Text
影響を受ける製品
この脆弱性の影響を受ける AppDynamics 製品は確認されていません。
脆弱性がないことが確認された製品
AppDynamics は、以下の製品がこの脆弱性の影響を受けていないことを確認しました。
-
.NETエージェント
-
分析エージェント
- Apache Webサーバーエージェント
- C/C++ SDK エージェント
- クラスタエージェント
- データベースエージェント
- Enterprise Console / コントローラ(オンプレミス)
- EUM サーバー
-
イベントサービス(オンプレミス)
- IIB エージェント
- Javaエージェント
- マシンエージェント
- モバイル RUM エージェント
- ネットワークエージェント
- PHPエージェント
- Pythonエージェント
不正利用事例と公式発表
AppDynamics では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。
ソース
この脆弱性は、Apache によって https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om で公開されました。
URL
マニュアルの変更履歴
| Version | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.0 | 初回公開リリース | — | Interim |
2022 年 10 月 24 日 14:00 PDT |
| 1.1 | 調査中の製品と脆弱性を含んでいないことが確認された製品を更新しました。 | 影響を受ける製品 | Interim | 2022 年 10 月 24 日 17:00 PDT |
| 1.2 | 調査中の製品と脆弱性を含んでいないことが確認された製品を更新しました。 | 影響を受ける製品 | Interim | 2022 年 10 月 25 日 16:00 PDT |
| 1.3 | 調査中の製品と脆弱性を含んでいないことが確認された製品を更新しました。 | 影響を受ける製品 | Interim | 2022 年 10 月 26 日 11:00 PDT |
| 1.4 | 調査中の製品と脆弱性を含んでいないことが確認された製品を更新しました。 | 影響を受ける製品 | Interim | 2022 年 11 月 2 日 16:00 PDT |
| 1.5 | 調査中の製品と脆弱性を含んでいないことが確認された製品を更新しました。 | 影響を受ける製品 | Interim | 2022 年 11 月 3 日 15:30 PDT |
| 1.6 | 調査中の製品と脆弱性を含んでいないことが確認された製品を更新しました。 | 影響を受ける製品 | Interim | 2022 年 11 月 9 日 22:00 PST |
| 1.7 | 概要を更新しました。 | 概要 | Final | 2022 年 12 月 16 日 13:00 PST |
このセキュリティアドバイザリに記載されているすべてのソフトウェアまたはリリース(パッチ、アップグレード、およびホットフィックスを含みますが、これらに限定されません)は、一切の保証なしで「現状のまま」で提供されます。AppDynamics は、商品適格性および特定目的への適合性の保証を含め、明示的、黙示的、法定、またはその他のいかなる表明または保証も否認します。いかなる場合においても、AppDynamics、その関連会社、またはそのサプライヤは、相手方が当該損害の可能性を知らされていたとしても、直接的、間接的、付随的、結果的、事業利益の損失、または特別損害を含むいかなる損害についても責任を負わないものとします。一部の州では結果的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限はお客様に適用されない場合があります。
このセキュリティアドバイザリで提供される情報は情報提供のみを目的としており、脆弱性管理などに関して AppDynamics とエンドユーザーとの既存の契約上の義務を変更するものとして解釈されることはありません。エンドユーザーにはこの規定を読み、AppDynamics ソフトウェアの特定の構成および使用例に関して、情報の適用性と影響を独自に分析することが推奨されます。