Apache Commons Textライブラリの重大な脆弱性(CVE-2022-42889)とManageEngine製品(オンプレミス)への影響について
作成日:2022年10月25日 | 更新日:2022年11月22日
本投稿では、本社のお知らせ「Update on the recent vulnerability in Apache Commons Text library and the impact on ManageEngine on-premise products」を翻訳したものを掲載いたします。
2022年10月18日、Apache Commons Textライブラリの重大な脆弱性(CVE-2022-42889)が公開されました。
本脆弱性の詳細は、Apacheの以下のドキュメントに記載されています。
https://blogs.apache.org/security/entry/cve-2022-42889
Apache Commons Textライブラリは、以下のManageEngineオンプレミス製品にバンドルされ、使用しています。
- Desktop Central(Endpoint Central)
- Password Manager Pro
- Patch Manager Plus
- Access Manager Plus
- Application Control Plus
- Browser Security Plus
- Device Control Plus
- Endpoint Central MSP
- Endpoint DLP
- Mobile Device Manager Plus
- OS Deployer
- PAM360
- Patch Connect Plus
- Remote Access Plus
- Remote Monitoring and Management
- Vulnerability Manager Plus
最新のApache Commons Textライブラリを搭載した新バージョンのリリースを進めており、詳細は近日中に更新いたします。
なお、攻撃に利用できるようなライブラリの使用方法は確認されていません。調査は現在も進行中です。
Apache Commons Textライブラリは、ManageEngineの全てのオンプレミス製品にバンドルされていますが、上記の製品以外では使用しておりません。
このような未使用のコンポーネントは、今後のリリースで、製品から削除する予定です。
新しい情報が入り次第、このアドバイザリーを更新します。