CVE-2022-21449のJavaの脆弱性についての情報はSWANStorに影響しますか

SWANStorではCVE-2022-21449の脆弱性に報告のあるOracle Javaを利用していないため、影響しません。

CVE-2022-21449の脆弱性は次のようなものです。特に影響の大きいケースは、対象となるJavaを使ってSSL/TLS暗号化通信をしようとする場合となります。SSL/TLS暗号化通信では、それに先立って通信相手が正しいことを、通信相手が提示したサーバ証明書と、自身が保有するルート証明書を突き合わせて検証します。この検証方法として、「署名検証」という方法がとられます。

CVE-2022-21449の脆弱性では、この「署名検証」の実装に問題があり、本来であれば検証エラーとなって正しく無い通信相手であることが判断されるべきケースを無視してしまうというものです。その結果、正しく無い相手と暗号化通信を開始してしまう可能性があります。フィッシングサイトやなりすましサイトとの通信が行われてしまうことで、秘匿すべき情報が攻撃者に漏洩してしまう可能性があります。

この問題は次の全ての条件を満足するケースで発生します。

１）Javaプログラムがクライアントとして動作しSSL/TLSの暗号化通信を確立させる

２）上記Javaプログラムが対象となるOracle Javaのバージョンで動作している

３）SSL/TLSの暗号化通信を確立させようとしている相手の正当性検証がJavaプログラムだけで行われている

SWANStorではSSL-VPNサーバ機能として動作するSWANStorゲートウエイとSWANStorサーバがJavaプログラムのサーバ機能として動作し、また、リモートアクセスPC上で動作するSWANBrowserやBiz AppがJavaプログラムのクライアントとして動作しています。この場合

A) 問題が発生するケースを見ておわかりいただけるように、SWANStorゲートウエイやSWANStorサーバはJavaクライアントとして動作しておらず、そもそも対象となるOracle Javaのバージョンも使用していないため、条件には該当しません

B) SWANBrowserやBiz AppはJavaプログラムのクライアントとして動作しているため条件１には合致しますが、これらのプログラムが通信しようとする相手は、その前に起動されているEdge/Google Chromeなどのブラウザでのアクセスが必要なため、そのアクセス時点で不正な相手と判断されることになります。また、Oracle Javaも使用しておらず、つまり条件２と３には合致しません。

以上のように、本件はSWANStorのご利用には影響しません。

なお、ご利用のPCにJavaをインストールしてご利用されている場合には、そのアップデートは強くお勧めします。その場合のJavaアップデートがSWANStorの動作に影響することもありません。