投稿

投稿日:

【注意喚起】CVE-2022-21724, CVE-2022-23437, CVE-2022-23221 について(SOS JobScheduler)

JobScheduler 1.13.11以前に以下の脆弱性の対応を公開しました。

CVE-2022-21724 PGJDBC 特権昇格
 この脆弱性は 2022年02月02日ににて 「GHSA-v7wg-cpwc-24m4」として 紹介されました。 
https://change.sos-berlin.com/browse/JOC-1222?src=confmacro

CVE-2022-23437 APACHE XERCES JAVA まで2.12.1 XML PARSER サービス拒否
 この脆弱性は 2022年01月24日ににて 紹介されました。 
https://change.sos-berlin.com/browse/JS-1978?src=confmacro

CVE-2022-23221 H2 CONSOLE 前の2.1.210 JDBC URL PRIVILEGE ESCALATION
 この脆弱性は 2022年01月20日ににて 紹介されました。 
https://change.sos-berlin.com/browse/JS-1977?src=confmacro

対策
回避策については、上記リンクをご確認ください。
尚LTS契約ご契約のお客様については上記フィックスを含んだV.1.13.12がご提供されます。

https://kb.sos-berlin.com/display/PKB/Release+1.13.12

投稿日:

オープンソース構成管理システム CMDBuild V.3.4リリース

CMDBuild V.3の最新版が公開されました。多くのバグフィックスと、以下の新機能が追加されています。

最も重要な革新点は、"waterWAY"と呼ばれるCMDBuildサービスバスの導入です。これは、システムの相互運用性を拡張、再編成する新しいレイヤで、データおよびメッセージフロー、バッチ処理、入出力モジュール、エラー処理および通知、Webhooksを提供します。

またデータモデルに新しい機能が追加されました。

・リンク、ファイル、数式、複数値ルックアップといった新しいタイプの属性の利用が可能。
・既存の属性の改良。1:1ドメイン参照、Markdownサポート、暗号化属性。
・オープンソースプロジェクトxeokitをベースにした、3D BIMモデルを表現するための新しいIFCビューアーを統合。
・クラスのメイン・データ・カードに「インライン」ウィジェットを設定することが可能になりました。
・GIS拡張機能:地理的属性のパーミッション管理、地図からのDWGファイルの読み込み、メニュー内のレイヤーの構成、地図上のポイントに関する情報。
・リレーションシップの履歴の復元。

また、JAVA17, Postgresql 10 - 12に対応しました。

詳細はこちらから。
https://www.cmdbuild.org/en/download/changelog

ダウンロードはこちらから。
https://www.cmdbuild.org/en/download/latest-version
アップグレードは、cmdbuild.warファイルを置き換えtomcat再起動により、自動的にDBマイグレーションスクリプトが実行されます。

マニュアル(英語版)も更新されています。
https://www.cmdbuild.org/en/documentation/manuals

投稿日:

CMDBuild V.3.3.3公開

Tecnoteca社より、CMDBuild V.3系の脆弱性に関する修正を含んだV.3.3.3が公開されました。

その他多数のバグ修正も含まれていますので、バージョンアップをご検討ください。

https://www.cmdbuild.org/en/download/changelog

脆弱性内容:
対象バージョン:V.3.3.2以前のV.3系 (3.3.2, 3.3.1, 3.3, 3.2.1, 3.2, 3.1.1, 3.1, 3.0)

https://www.cmdbuild.org/en/reference/news#:~:text=CMDBuild%203.3.3-,intermediate,-release%20(vulnerability%20patch

詳細:
対象バージョンでは、デバッグ目的のためにユーザーインターフェースからのリクエスト、ログインリクエストに対応するものを含め、システム上で実行される操作を実行する REST / SOAP API コールをローテーションメカニズムに従って PostgreSQL DB テーブルに保存します。
REST / SOAP API のコールは、システム管理者が変更可能なデフォルトのログレベルで、関連するパラメータとともに PostgreSQL DB テーブルに保存されます。
対象バージョンでは、ユーザーが入力したパスワードに関連するパラメータがアーカイブから除外されないため、データベース管理者がSQLクエリーを実行するか、データベースサーバーへの接続を明示的に有効にしたクライアントプログラムを使用してアクセスすることにより、CMDBuildへのログインアカウント・パスワード情報を取得することができます。

ダウンロードはこちら

 

 

投稿日:

JS7® JobScheduler V.2.2.1公開

JS7® JobScheduler V.2.2.1がリリースされました。

今回のリリースは、Apache Log4jのリモートコード実行の脆弱性(CVE-2021-4832)の対応で、Log4j 2.17.1に更新されています。また、2.2.0であったPostgresの不具合やその他の軽微な不具合も修正されています。

詳細は以下をご参照ください
https://kb.sos-berlin.com/display/PKB/Release+2.2.1

ダウンロード
https://www.sos-berlin.com/en/jobscheduler-downloads

 

オンラインデモはこちらからお申込できます。
https://www.sos-berlin.com/en/try-out

ジョブ管理 JS7®JobScheduler
https://www.ossl.co.jp/

投稿日:

JobScheduler V.1.13.11公開

JobScheduler V.1.13.11がリリースされました。

今回のリリースは、Apache Log4jのリモートコード実行の脆弱性(CVE-2021-4832)の対応で、Log4j 2.17.1に更新されています。

また本リリースは、V.1.13系の一般公開最終版となり、V.1.13.12以降のバグフィックス版の入手にはLTS契約が必要となります。詳細は以下をご参照ください

Product Life Cycle Management

リリースノートは以下をご参照ください
https://kb.sos-berlin.com/display/PKB/Release+1.13.11

ダウンロード
https://www.sos-berlin.com/en/jobscheduler-downloads

オンラインデモはこちらからお申込できます。
https://www.sos-berlin.com/en/try-out

ジョブ管理 JS7®JobScheduler
https://www.ossl.co.jp/

投稿日:

Apache Log4jのRCE(リモートコード実行の脆弱性)(CVE-2021-44832)について(SOS JobScheduler)

2021/12/29

Apache Log4jのRCE(リモートコード実行)の脆弱性について、新たな脆弱性が発見されCVE-2021-44832として公開されています。

Apache Log4j2 バージョン 2.0-beta7 から 2.17.0 (セキュリティフィックスリリース 2.3.2 と 2.12.4 を除く) には、リモートコード実行 (RCE) 攻撃の脆弱性があり、ロギング設定ファイルを変更する権限を持つ攻撃者が、JNDI URI を参照するデータソースを使って JDBC Appender で不正な設定を行い、リモートコードを実行できるようになってしまいます。この問題は、Log4j2 のバージョン 2.17.1, 2.12.4, 2.3.2 において、JNDI データソース名を java プロトコルに制限することで修正されます。

Apache Log4j Security Vulnerabilities
Fixed in Log4j 2.17.1 (Java 8)
https://logging.apache.org/log4j/2.x/security.html#log4j-2.17.1

JobScheduler V.1.13.10, V.2.2.0以降では設定ファイルlog4j2.xmlのデフォルト設定から、JDBC Appenderを使用するよう変更していない限り、CVE-2021-42832の影響を受ける可能性はないと考えていますが、下記が公開されましたのでご確認ください。

Update log4j2 2.17.1 to 2.17.1 due to 3rd party vulnerability issue in log4j2 2.17.0 (CVE-2021-44832)

https://change.sos-berlin.com/browse/JOC-1192?src=confmacro

 

投稿日:

JS7® JobScheduler V.2.2.0公開

JS7® JobScheduler V.2.2.0がリリースされました。

今回のリリースは、Apache Log4jの任意のコード実行の脆弱性(CVE-2021-45105, CVE-2021-44228, CVE-2021-45046)の対応(log4j 2.17.0へのアップデート)に加え、下記の新機能追加とバグフィックスを含んでいますので、アップデートを強く推奨します。

  • HashiCorp Vault® シークレット管理のサポート
  • 通知機能の強化

詳細は以下をご参照ください
https://kb.sos-berlin.com/display/PKB/Release+2.2.0

ダウンロード
https://www.sos-berlin.com/en/jobscheduler-downloads

※Postgresご使用の場合は以下のパッチ適用が必要です。

https://change.sos-berlin.com/browse/JOC-1191

パッチ適用方法は以下の通りです。
1. JOCの停止
2. JOC Patchの適用
a. joc_patch_20211224_JOC-1146-login.zipを /home/scheduler/sos-berlin.com/js7/joc/patches にコピーし、
b. $ java -jar /home/scheduler/sos-berlin.com/js7/joc/patches/bin/patch-executor-2.2.0.jar
を実行
 

オンラインデモはこちらからお申込できます。
https://www.sos-berlin.com/en/try-out

ジョブ管理 JS7®JobScheduler
https://www.ossl.co.jp/

投稿日:

JS7® JobSchedulerワークフロー間連携 記事公開しました

JS7®JobSchedulerは独SOS社(Software- und Organisations-Service GmbH)によって開発されている、ジョブ管理システムです。
OSSジョブ管理ツールの定番JobSchedulerをリニューアルし、従来より耐障害性、大規模環境対応を強化し、ミッションクリティカルな要求に対応しています。
本記事では、JS7®JobSchedulerで異なるワークフロー間で連携する実行する方法までを記載しています。

https://qiita.com/satoruf/items/64b185880f4ac0e05c5d

オンラインデモはこちらからお申込できます。
https://www.sos-berlin.com/en/try-out

ジョブ管理 JS7®JobScheduler
https://www.ossl.co.jp/

投稿日:

【続々報】Apache Log4jの任意のコード実行の脆弱性(CVE-2021-45105)について(SOS JobScheduler)

2021/12/18

Apache Log4jの任意のコード実行の脆弱性について、新たな脆弱性が発見されCVE-2021-45105として公開されました。

自己参照による制御不能な再帰から保護されていないことに起因し、Log4jの設定によっては影響を受けるサービス運用妨害攻撃の可能性を修正したlog4j 2.17が公開されています。

Apache Log4j Security Vulnerabilities
Fixed in Log4j 2.17.0 (Java 8)
https://logging.apache.org/log4j/2.x/security.html#log4j-2.17.0

JobScheduler V.1.13.10以降では設定ファイルlog4j2.xmlのデフォルト設定を変えていない限り、CVE-2021-45105の影響を受ける可能性は低いと考えていますが、下記対応策が公開されましたのでご確認ください。

JOC-1188 Update log4j2 2.16.0 to 2.17.0 due to 3rd party vulnerability issue in log4j2 2.16.0 (CVE-2021-45105)
 https://change.sos-berlin.com/browse/JOC-1188?jql=text%20~%20%22log4j2%22

対応策:Log4jライブラリを対策済みの2.16/2.17に入れ替える

  • マスター
    • 1.13.3:以下ファイルを削除: 
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.13.0.jar
        • log4j-core-2.13.0.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.13.0.jar
    • 1.13.4 to 1.13.8:以下ファイルを削除:  
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.13.2.jar
        • log4j-core-2.13.2.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.13.2.jar
    •  1.13.9:以下ファイルを削除:  
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.14.0.jar
        • log4j-core-2.14.0.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.14.0.jar
    •  1.13.10:以下ファイルを削除:  
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-core-2.16.0.jar
    • 1.13.3 - 1.13.9:以下ファイルをコピー: 
      •  SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.16.0.jar
        • log4j-core-2.17.0.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.16.0.jar
    • 1.13.10:以下ファイルをコピー: 
      •  SCHEDULER_HOME/lib/3rd-party
        • log4j-core-2.17.0.jar
  • エージェント
    • 1.13.3:以下ファイルを削除:   
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.13.0.jar
        • log4j-core-2.13.0.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.13.0.jar
    • 1.13.4 to 1.13.8:以下ファイルを削除:   
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.13.2.jar
        • log4j-core-2.13.2.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.13.2.jar
    • 1.13.9:以下ファイルを削除:   
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.14.0.jar
        • log4j-core-2.14.0.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.14.0.jar
    • 1.13.10:以下ファイルを削除:   
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-core-2.16.0.jar
    • 1.13.3 - 1.13.9:以下ファイルをコピー:
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-core-2.17.0.jar
        • log4j-api-2.16.0.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.16.0.jar
    • 1.13.10:以下ファイルをコピー:
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-core-2.17.0.jar
  • JOCコックピット