Q1
ScriptRunner の使用有無の確認方法を教えてください。
A1
ScriptRunner は、コマンドライン引数に起動設定ファイルを指定してScriptRunner.exe を実行することでスクリプトを実行する機能です。
詳細は下記 URL のヘルプをご参照ください。
[ScriptRunner]
このため ScriptRunner の使用有無については以下をご確認ください。
- ScriptRunner.exe がインストールされている環境があるか。
- 上記環境でお客様が作成した起動設定ファイルを指定して ScriptRunner.exe でスクリプトを実行する運用を行っているか。
Q2
ScriptRunner を使用してはいませんが、DataSpiderServer の動作環境に、ScriptRunner.exe, ScriptRunnerSQS.exe が存在しています。この2つのファイルが DataSpiderServer 動作環境に存在する場合に、本脆弱性問題は発生しますか。
A2
本脆弱性は、ScriptRunner や ScriptRunner for Amazon SQS でスクリプトを実行する際に使用する起動設定ファイルの暗号化に関する脆弱性です。
このため、ScriptRunner.exe、ScriptRunnerSQS.exe のファイル自体が存在していても、起動設定 ファイルを作成していない場合、影響はございません。
Q3
パッチがリリースされる対象バージョンはDataSpider Servista 4.4, 4.3, 4.2 とのことですが、4.1 以下を使用している場合、バージョンアップが必要ですか。
A3
恐縮ですが、DataSpider Servista 4.2 以降へのバージョンアップをお願いいたします。
DataSpider Servista 4.1 は 2022 年 07 月 05 日より、アシスタンスサポートの範囲でのサポートとなっており、パッチのご提供はございません。
Q4
今回の脆弱性について実際に被害の起きた事例はありましたか。
A4
本脆弱性が原因となる被害について、現時点でご報告はいただいておりません。
Q5
パッチを適応後、想定通り改善された動作となっているか確認する方法はありますか。
A5
パッチ適用前から変更していない起動設定ファイルを使用して、ScriptRunner.exe を実行してください。エラーが発生した場合、パッチが適用されています。
今回の脆弱性の対応として、認証情報を復号化するための暗号鍵を実行環境に保存するように変更しています。
このため、パッチ適用前の起動設定ファイルに記載している認証情報は、パッチ適用後には復号化できないため、エラーが発生します。
Q6
DataSpider Servista の導入されているマシンが、ScriptRunner を用いた通信を行っていない場合は、脆弱性の影響を受けないと理解してよいでしょうか。
A6
本脆弱性は、DataSpider の導入環境にアクセス可能な攻撃者が ScriptRunner の起動設定ファイルを入手した場合に、認証情報を確認できてしまう問題です。
ScriptRunner と DataSpiderServer 間で通信を行っていない場合でも、作成済みの起動設定ファイルが存在する場合、そのファイルを入手された際に影響がございます。
Q7
ScriptRunnerProxy は本脆弱性の影響範囲に含まれますか。
A7
ScriptRunnerProxy は本脆弱性に影響範囲には含まれません。