A vulnerability that allows RCE (Remote Code Execution) and the vulnerability of Denial of Service have been discovered in the Spring Framework library. Please explain about the impact on intra-mart products.

A vulnerability (CVE undecided) was discovered in the Spring Framework library that allows remote code execution.
This FAQ describes the impact of these vulnerabilities on intra-mart products.

The conditions of Spring4Shell vulnerability that we have confirmed are as follows.

* Java 9 or later is used.
(Java 11 is included in the support environment for intra-mart products)
* Applications created with the Spring Framework is incorporated.
(Spring Framework is incorporated in TERASOLUNA Server Framework for Java (5.x) for Accel Platform)
* There is an application that accepts requests whose content type is application/x-www-form-urlencoded format.
denyList is not used in application development, or requests with parameter names such as class, module, classLoader and so on are not blocked

In addition to the above conditions, the following conditions are required to enable RCE.

* Tomcat is used for the application server.
* Web application is deployed to Tomcat

Our Accel Platform does not support the application server Tomcat.
Therefore, we have not confirmed the process that enables RCE (Remote Code Execution) immediately.

In addition, cases affected by the path traversal vulnerability have been confirmed.
The conditions are as follows.

* Payara Server is used as the application server.

Our product Accel Platform supports Payara Server as an application server.
If you are using Payara Server, you can avoid it by applying the following patch.
* https://issue.intra-mart.jp/issues/34435

<Affected products>

* intra-mart Accel Platform
The target is the environment where TERASOLUNA Framework is installed in the configuration of Accel Platform using IM-Juggling tool.

   Tomcat is used for the application server.
   Web application is deployed to Tomcat

  However, if you are using Payara Server as your application server, we have confirmed that it is affected as a path traversal vulnerability.
  you can avoid it by applying the following patch.
  * https://issue.intra-mart.jp/issues/34435


IM-RPA for Accel Platform
WinActorAgent program in WinActor linkage function
intra-mart WebPlatform / AppFramework
intra-mart BaseModule
intra-mart Accel GroupMail
intra-mart Accel Archiver
IM-X Server DB Bridge
IM-X Server Management Service
IM-PDFAutoConverter for Accel Platform

IM-PDFDirectPrint for Accel Platform
IM-PDFTimeStamper for Accel Platform

<Unaffected products>

* IM-PDFDesigner for Accel Platform
* IM-PDFDesigner FullPack for Accel Platform

We have confirmed that the following products do not use Spring Framework.

* intra-mart WebPlatform / AppFramework
* intra-mart BaseModule
* intra-mart Accel Archiver
* IM-X-Server
* IM-X Server DB Bridge
* IM-X Server Management Service
* intra-mart Accel Collaboration (including electronic conference room and questionnaire)
* intra-mart Accel Documents
* intra-mart Accel Documents Secure Download Option
* IM-ContentsSearch for Accel Platform
* intra-mart DPS Series
* IM-Sign for Accel Platform
* IM-RPA for Accel Platform
* IM-BPM for Accel Platform
* IM-ERP Real Connect for Accel Platform
* IM-BloomMaker for Accel Platform
* Accel Studio
* IM-FormaDesigner for Accel Platform
* IM-BIS for Accel Platform
* IM-Spreadsheet for Accel Platform
* intra-mart e Builder for Accel Platform
* IM-Juggling
* Middleware (distributed via the Product File Download site)
* Caucho Resin

<Cloud services>

* Accel-Mart Quick
    Spring Framework is not used.

*Accel-Mart Plus
    It depends on the configuration of the Accel Platform deployed for your environment.

<About Peripheral middleware products>

Please contact each vendor for middleware products such as Web servers and databases that you have installed.

--Target -------------------------------------------------------------------------
iAP/Accel Platform/All Updates
iAP/Accel Extensions/All Series
iAP/Accel Applications/All Series

Was this article helpful?
0 out of 0 found this helpful
Powered by Zendesk