無償グループウェア「GroupSession」に「Apache Struts」起因の脆弱性

「GroupSession」v4.2.6

　日本トータルシステム（株）は4月28日、無償で利用できるJava製の国産グループウェア「GroupSession」の最新版v4.2.6を公開した。本バージョンでは「Apache Struts」に起因する脆弱性が修正されている。

　IPA（独立行政法人情報処理推進機構）によると、Java製のWebアプリケーションフレームワーク「Apache Struts 1」および「Apache Struts 2」の旧バージョン（v2.0.0からv2.3.16.1）には、“ClassLoader”を操作される脆弱性（CVE-2014-0094、CVE-2014-0112、CVE-2014-0113）が存在する。最悪の場合、リモートから任意のコードが実行される恐れがあり、すでに本脆弱性の悪用を試みたリクエストも確認されているという。

　「GroupSession」では内部的に「Apache Struts 1」を利用しているため、脆弱性（CVE-2014-0094）の影響を受ける可能性がある。最新版のv4.2.6ではこの脆弱性への対策が施されているので、必ずアップデートしておきたい。また、本バージョンでは各機能で発見された不具合が多数修正されている。

　「GroupSession」の動作には「Java 6」または「Java 7」が、J2EEコンテナとして「Apache Tomcat 6」または「Apache Tomcat 7」が必要。個人・法人やユーザー数を問わず無償で利用できる。現在、同社のWebサイトや窓の杜ライブラリからダウンロード可能。