JS7® JobScheduler V.2.3.1公開

JS7® JobScheduler V.2.3.1がリリースされました。

今回のリリースは、2.3.0までの不具合の修正に加えて、サポートOSが追加されました。

従来JOCコックピット/コントローラーではLinuxとしてRHEL/CentOS系をサポート対象としていましたが、V.2.3.1以降はそれに加えてUbuntu, Oracle Linux, Amazon Linuxが加わりました。

サポートプラットフォーム詳細は以下をご参照ください
https://kb.sos-berlin.com/display/PKB/JS7+-+On+Premises

リリースノートは以下をご参照ください
https://kb.sos-berlin.com/display/PKB/Release+2.3.1

ダウンロード
https://www.sos-berlin.com/en/jobscheduler-downloads

V.2.3.0からのアップデート方法は以下をご参照ください。
 

オンラインデモはこちらからお申込できます。
https://www.sos-berlin.com/en/try-out

ジョブ管理 JS7®JobScheduler
https://www.ossl.co.jp/

JS7® JobScheduler V.2.3.0公開

JS7® JobScheduler V.2.3.0がリリースされました。

今回のリリースは、バグフィックスに加え、下記の新機能追加を含んでいますので、アップデートを強く推奨します。

  • Git連携-JOCコックピットからのGit操作機能追加
  • WindowsエージェントでのShift-JISサポート-エージェント実行環境のコードページを自動選択
  • LDAPサポートの強化
  • エージェントクラスター機能(有償ライセンスが必要)

詳細は以下をご参照ください
https://kb.sos-berlin.com/display/PKB/Release+2.3.0

ダウンロード
https://www.sos-berlin.com/en/jobscheduler-downloads

 

オンラインデモはこちらからお申込できます。
https://www.sos-berlin.com/en/try-out

ジョブ管理 JS7®JobScheduler
https://www.ossl.co.jp/

Spring Frameworkの任意のコード実行の脆弱性(CVE-2022-22965)について: CMDBuild

2022/4/1 JPCERT/CCよりSpring Frameworkの任意のコード実行の脆弱性(CVE-2022-22965) 別名: Spring4Shellに関するCyberNewsFlashが発表されています。詳細については、以下をご参照ください。
https://www.jpcert.or.jp/newsflash/2022040101.html

(CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。)

【以下抜粋】

対象となるバージョンは以下の通りです

  • Spring Framework 5.3.0から5.3.17
  • Spring Framework 5.2.0から5.2.19
  • すでにサポート終了した過去のバージョン

VMWareによると、同社に報告された攻撃シナリオにおいては、攻撃が成功するためには次の条件が必要だったとのことです。ただし、本脆弱性の影響を受ける条件は他にも存在する可能性があると示唆されており、今後公開される情報を注視する必要があります。

  • JDK 9以上を使用している
  • Apache Tomcatをサーブレットコンテナーとして使用している
  • WAR形式でデプロイされている
  • プログラムがspring-webmvcあるいはspring-webfluxに依存している

CMDBuild V.3.1以降でJDK11を使用している場合、本脆弱性の影響を受ける可能性があります。

【回避策】

VMwareより、対策の適用が難しい場合の回避策に関する情報が公開されています。詳細および最新の情報については、VMwareが提供する情報を参照ください。
Spring Framework RCE, Early Announcement - Suggested Workarounds
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

Tecnoteca社では上記修正を含んだリリース(V.3.4-g)が公開されています。

CMDBuild V.3.4-gにすぐにバージョンアップできない場合は、Tomcat 9.0.62以降に変更することで本脆弱性の対応が可能です。
https://spring.io/blog/2022/04/01/spring-framework-rce-mitigation-alternative

JS7® JobScheduler V.2.2.3公開

JS7® JobScheduler V.2.2.3がリリースされました。

今回のリリースは、2.2.2までの不具合の修正で新機能の追加はありません。

詳細は以下をご参照ください
https://kb.sos-berlin.com/display/PKB/Release+2.2.3

ダウンロード
https://www.sos-berlin.com/en/jobscheduler-downloads

V.2.2.xからのアップデート方法は以下をご参照ください。
 

オンラインデモはこちらからお申込できます。
https://www.sos-berlin.com/en/try-out

ジョブ管理 JS7®JobScheduler
https://www.ossl.co.jp/

オープンソースチケット管理システム OTRSからOTOBO/Znunyへ

オープンソースのチケット管理システムとしては、ドイツのOTRS AG社が開発するOTRS (Open-source Ticket Request System)が最も有名でコミュニティも世界的に活発で、日本でも導入事例がたくさんありました。
 
2018年4月、OTRS AG社は製品戦略を変更し、次のバージョンOTRS7から、商用(有償)版を“OTRS”、OSS(無償)版を“((OTRS)) Community Edition”というブランドに変更すると同時に、OSS版は商用版の新版を2年遅れで実装することを発表しました。
ここまでは、いわゆる「コマーシャル・オープンソース」製品としてはよくある話で、OSSのマネタイズ戦略としてはいたしかないことかもしれません。
 
ところが2020年12月23日、OTRS AG社はOSS版のOTRS7のサポートを2021年1月1日から停止すると発表しました。この発表は突然であり、しかも発表から年末年始を挟んで8日後に停止するという暴挙で、サポートベンダーを含むコミュニティから困惑と怒りが巻き起こったようです。
 
そしてOTRS6まではGPLライセンスの元で ソース公開は続けられていますがダウンロードサイトは終了したため、閉じています。OTRS7以降はプロプライエタリライセンスとなりオープンソース製品ではなくなり、OSS版のユーザーは商用版を購入するか、別製品に切り替えるかを迫られました。
この辺りの事情は、この記事に詳しく書かれています。
 

フォークの登場

OTRS AG社の決定は唐突ではあるものの彼らの経営判断であり、コミュニティでは覆すことはできませんでした。しかし、OSS版OTRS6をフォークし拡張する製品が登場することにより、OSS版のユーザーはもう一つの選択肢を持つことができました。こういうことがあるのがオープンソースの一つの美点だと思います。
2020年7月にOTOBO、2021年1月にZnunyが誕生しました。
 
OTOBOは、2004年に最初の従業員として当時のOTRSGmbH(現在のOTRS AG)に加わり、2011年に退職するまでサポートと内部ITを担当していたStefan Rotherが創業した
ROTHER OSS GmbHによって開発され、有償サポートも提供しています。
特徴は完全に再設計された顧客インターフェースのモダンな外観です。
 
Znunyは、OTRS.orgのファウンダーの一人でありOTRS AG社のCTOであったMartin Edenhoferが2012年に創業したZnuny GmbH社が開発しており、こちらも有償サポートも提供しています。

国内でのサポート状況

国内では最も古くからOTRSをサポートしている株式会社アイオーアーキテクトがOTOBO/Znunyをサポートしており、以下アイオーアーキテクトさんのラボノートから引用します。
 
OTOBO, Znuny共に機能面ではほとんどOTRSと同じです。ただし今後はおそらくそれぞれ独自の進化のほうにシフトしていくと考えられます。
 
一応言及しておくと、OTOBOとZnunyの仲が悪いということはありません。現にOTOBOの一部にはZnuny由来の機能が存在しています。別々にフォークしながらいいところは取り込んでいくといった、OSSらしい良い循環が出来ているように見えます。
 
また、((OTRS)) Community Edition 6からの移行サービスも提供されています。
OTOBO/Znunyの製品紹介は、こちらをご覧ください。
日本語でのインストール手順も公開されていますので、OTOBOZnunyをご参照ください。
 

ソフトウェアのサポートについて

弊社もオープンソースソフトウェアの商用利用をサポートしている立場として、OTRSのように提供ベンダーの事情によってメンテナンスが止まるリスクは常に考えています。
しかしある程度利用されてコミュニティが成立しているオープンソースでは、プロジェクトの継続ができなくなっても派生プロジェクトが立ち上がることに期待できます。
 
開発会社が買収されて製品をディスコンにすることが日常茶飯事のソフトウェア業界においては、プロプライエタリな商用製品よりオープンソースの方が優位ではないでしょうか?

 

JS7® JobScheduler V.2.2.2公開

JS7® JobScheduler V.2.2.2がリリースされました。

今回のリリースは、2.2.1までの不具合の修正に加えて下記の新機能が追加されています。

  • Java17サポート
    https://change.sos-berlin.com/browse/JS-1979
  • Git連携機能
    https://change.sos-berlin.com/browse/JOC-1144
  • LDAP連携機能
    https://change.sos-berlin.com/browse/JOC-1147
  • 二要素認証機能
    https://change.sos-berlin.com/browse/JOC-1208

詳細は以下をご参照ください
https://kb.sos-berlin.com/display/PKB/Release+2.2.2

ダウンロード
https://www.sos-berlin.com/en/jobscheduler-downloads

 

オンラインデモはこちらからお申込できます。
https://www.sos-berlin.com/en/try-out

ジョブ管理 JS7®JobScheduler
https://www.ossl.co.jp/

【注意喚起】CVE-2022-21724, CVE-2022-23437, CVE-2022-23221 について(SOS JobScheduler)

JobScheduler 1.13.11以前に以下の脆弱性の対応を公開しました。

CVE-2022-21724 PGJDBC 特権昇格
 この脆弱性は 2022年02月02日ににて 「GHSA-v7wg-cpwc-24m4」として 紹介されました。 
https://change.sos-berlin.com/browse/JOC-1222?src=confmacro

CVE-2022-23437 APACHE XERCES JAVA まで2.12.1 XML PARSER サービス拒否
 この脆弱性は 2022年01月24日ににて 紹介されました。 
https://change.sos-berlin.com/browse/JS-1978?src=confmacro

CVE-2022-23221 H2 CONSOLE 前の2.1.210 JDBC URL PRIVILEGE ESCALATION
 この脆弱性は 2022年01月20日ににて 紹介されました。 
https://change.sos-berlin.com/browse/JS-1977?src=confmacro

対策
回避策については、上記リンクをご確認ください。
尚LTS契約ご契約のお客様については上記フィックスを含んだV.1.13.12がご提供されます。

https://kb.sos-berlin.com/display/PKB/Release+1.13.12