お世話になっております。NEC大門です。
Aspose.Cells forJavaを利用しております。
以下Javaに関する脆弱性が発生しており、上記製品は該当するのかお伺いしたく存じます。
①この脆弱性は、通常、サンドボックス化されたJava Web Startアプリケーションまたはサンドボックス化されたJavaアプレットを実行しているクライアントで
信頼できないコード(インターネットからのコードなど)を読み込んで実行し、セキュリティをJavaサンドボックスに依存するJavaデプロイメントが対象です。
②この脆弱性は、通常サーバーで信頼できるコード(管理者がインストールしたコードなど)のみを読み込んで実行するJavaデプロイメントを対象としていません。
詳細を共有していただきありがとうございます。
詳細に徹底的に調査する必要があります。 IDが「CELLSJAVA-44480」のチケットを記録しました。 ご指摘のとおり、Aspose.CellsforJavaに存在する可能性のある脆弱性を評価および調査します。
更新があり次第、お知らせします。
ご回答ありがとうございます。
脆弱性の対象CVE番号は以下となります。こちらの該当有無を確認お願い致します。
(CVE-2021-3517)
(CVE-2021-35560)
(CVE-2021-35567)
お手数おかけしますが、緊急性が高いこともあり、
3/31までに回答をお願い致します。
CVE-2021-3517の場合:まず、libxml2を使用しません。次に、OOXML形式のExcelファイルなどのxmlファイルを処理する場合、共通要素のプレーン文字列値以外のエンティティはサポートされません。したがって、私たちのコンポーネントにはそのような種類の脆弱性は確かにありません。
CVE-2021-35560、35567の場合:これらの脆弱性は主にユーザーの環境に依存しているようです。 Aspose.Cells for JavaはプレーンJavaコンポーネントであるため、スプレッドシートファイルを処理するときに外部コードを実行することはサポートされていません。 Excelファイル内のリンクされた画像などの外部リソースについては、APIを提供しています(https://reference.aspose.com/cells/java/com.aspose.cells/workbooksettings#ResourceProvider, https://reference.aspose.com/cells/java/com.aspose.cells/htmlloadoptions#StreamProvider )ユーザーがそれらをロードする動作を上書きするため。リモートリソースから(httpリンクを介してなど)画像を取得するなどのデフォルトの動作でも、フェッチされたバイナリデータのみが画像の測定または作成に使用されます。これらのデータがコンポーネントで実行される機会はありません。
したがって、コンポーネントにそのような種類の脆弱性はないと思います。