BOM for Windows Ver.6.0
ダウンロード

【前のページに戻る】

BOM for Windows Ver.6.0 SR2 向けアップデートモジュール (202111)

基本パッケージ

修正・更新モジュール

公開終了

[はじめに]
本ページで公開されていたモジュールの内容を含む、更新されたアップデートモジュール「BOM for Windows Ver.6.0 SR2 向けアップデートモジュール (202205)」が公開されたため、本ページのダウンロードファイルは公開を終了しました。

 

[ご案内]
本ページのダウンロードファイルは、「脆弱性対応」「不具合対応」を 1 パッケージにまとめたBOM for Windows Ver.6.0 SR2 向けのアップデートモジュールです。

  • 適用可能なバージョン : BOM for Windows Ver.6.0 SR2 (BOM 6.0 SR2)

 

[Windows Server 2008 (※) および Windows Server 2008 R2 への対応に関して]
以下の理由から、本アップデートモジュールの対応 OS において Windows Server 2008 および Windows Server 2008 R2 は非対応とします。

  • 対象の OS はマイクロソフト社によるサポートが終了していること。
  • 対象の OS 上で BOM 集中監視 Web サービスを実行する環境において、後述の脆弱性対応のため更新された AdoptiumJDK 8u312-b07 で若干のメモリリークが確認されたこと。
  • 対象の OS は AdoptiumJDK の 公式サポート OS にも含まれていないため、問題の改善が困難であること。

 

これらの環境において、本アップデートモジュールで対応した脆弱性、および集中監視コンソールの不具合修正を必要とされる際は、当社までお問い合わせください。

 

※ Windows Server 2008 で BOM 集中監視 Web サービスを使用している環境は、本アップデートモジュールの前提となる「BOM 6.0 SR2 Rollup Package 2019.11.15」が適用できないため、上記に関わらず本アップデートモジュールは非対応です。

 

[更新内容]
脆弱性対応 本モジュールにより、次の脆弱性への対応が適用されます。

  • 使用するOpenSSLのバージョンをOpenSSL 1.1.1kに更新し、以下の脆弱性に対応しました。
    • [CVE-2021-3449]
      TLS v1.2 の再ネゴシエーション処理において、signature_algorithms 拡張が含まれず、代わりに signature_algorithms_cert 拡張が含まれるようなパケットが送信された場合NULL ポインタ参照が発生する可能性がある。
  • BOM 6.0 集中監視コンソールで使用する Apache Tomcat のバージョンを 9.0.53 に更新し、以下の脆弱性に対応しました。
    • [CVE-2021-41079]
      NIO+OpenSSL または NIO2+OpenSSL で構成されている場合、特別に細工されたパケットを使用することで無限ループが発生し、DoS を引き起こすことができる可能性がある。
  • BOM 6.0 集中監視コンソールで使用する AdoptiumJDK のバージョンを JDK8u312-b07 に更新し、以下の脆弱性に対応しました。
    • [CVE ID:CVE-2021-35550]
      認証されていない攻撃者により侵害されると、アクセス可能なデータを取得される可能性がある。
    • [CVE ID:CVE-2021-35561]
      認証されていない攻撃者により侵害されると、部分的にサービス拒否 (部分的なDOS)を引き起こす因子が発生する可能性がある。
    • [CVE ID:CVE-2021-35565]
      認証されていない攻撃者により侵害されると、部分的にサービス拒否 (部分的なDOS)を引き起こす因子が発生する可能性がある。
    • [CVE ID:CVE-2021-35578]
      認証されていない攻撃者により侵害されると、部分的にサービス拒否 (部分的なDOS)を引き起こす因子が発生する可能性がある。

 

上記 AdoptiumJDK のバージョンアップにより、BOM 6.0 集中監視コンソールのメール送受信で使用する SSL プロトコルが以下の様に変更されました。

    • TLSv1.0 および TLSv1.1 は使用できなくなりました。
    • TLSv1.3 に新しく対応しました。
    • TLSv1.2 は従来同様使用できます。

 

これに伴い、BOM 6.0 集中監視コンソールのメール送受信において、TLSv1.0 および TLSv1.1 のみに対応するメールサーバーは使用できなくなりました。
TLSv1.2 および TLSv1.3に対応したメールサーバーを使用してください。

 

不具合対応 本モジュールにより、次の不具合への修正が適用されます。

  • 不具合の内容
    • 集中監視コンソールのポーリングが「実行中」のままとなり、以降のポーリングが実行されなくなる。
  • 不具合による影響 
    • 集中監視WEBサービスを再起動するまでは定期ポーリング、手動ポーリング(「全チェック&全ポーリング」および、インスタンス毎の「ただちにポーリング」)のどちらのポーリングも実行できなくなる。
  • 発生条件
    本不具合は、以下の環境において発生する可能性があります。
    • BOM 6.0 SRなし ~ BOM 6.0 SR2(含む、BOM 6.0 SR2 Rollup Package 2019.11.15 適用)を使用していること。
    • BOM 集中監視 WEB サービス、および BOM 集中監視コンソールを使用していること。
  • 不具合が発生する状況
    本不具合は、上記発生条件に該当する環境において、以下のどちらかの操作および動作が行われることで発生します。
    • 集中監視コンソールの各インスタンスで「定期ポーリング」の実行中に「全チェック&全ポーリング」ボタンが押下され、「定期ポーリング」の処理後に「全チェック&全ポーリング」の処理が完了した場合。
    • 集中監視コンソールの各インスタンスで「定期ポーリング」の実行中に「ただちにポーリング」ボタンが押下され、「定期ポーリング」の処理後に「ただちにポーリング」の処理が完了した場合。
      (この場合、影響を受けるのは「ただちにポーリング」ボタンを押下したインスタンスのみです。)
  • 修正内容
    • 手動ポーリングの際に行うフラグ処理の内容を見直し、定期ポーリングと手動ポーリングが同時に行われた場合でもそれぞれの処理が正しく行われるよう修正しました。

 

[適用条件]
本アップデートモジュールの適用に際しては、以下の条件を満たす必要があります。

  • BOM 6.0 SR2 の動作要件を満たし、正常にインストールされて動作していること。
    BOM for Windows Ver.6.0 SR無し~SR1 をご使用の場合は、「BOM for Windows Ver.6.0 SR2 バージョンアップインストーラ」で SR2 へアップデートを実施してください。
  • ロールアップパッケージ「BOM 6.0 SR2 Rollup Package 2019.11.15」が適用されていること。
    このロールアップパッケージにはBOM 6.0 SR2 リリース以降に公開された、BOM 6.0 SR2 およびオプション製品に関する修正モジュールや拡張モジュール、新規追加された脆弱性対応・不具合修正などが含まれており、これらの内容を一括適用できるパッケージです。
    パッケージの詳細および適用に関する注意事項については、上記ロールアップパッケージダウンロードページと、ダウンロードしたファイルに同梱されている「readme.txt」および、リリースノートを参照してください。

 

[注意・制限事項]

  • 本アップデートモジュールはインストール後、個別でアンインストールすることはできません。アンインストールする場合は、BOM 6.0 SR2 自体をアンインストールした上で、改めてインストールを実施してください。
  • Apache Tomcat および AdoptiumJDK のバージョン更新は、BOM 集中監視 Web サービスを実行しているコンピューター上で本モジュールのインストールを実行する必要があります。
  • BOM 集中監視コンソールの不具合修正を適用するためには、BOM 集中監視 Web サービスを実行しているコンピューター上で本モジュールのインストールを実行する必要があります。

 

[モジュール適用状況の確認方法]
アップデートモジュールの適用状況は、BOM 6.0 SR2 の各機能のインストール状況に関わらず、以下の手順で表示した画面から確認できます。

  1. Windows OS上で、「コントロールパネル」→「プログラムと機能」→「インストールされた更新プログラム」を順に開きます。
  2. BOM 6.0 SR2 に本アップデートモジュールが適用されている場合、名前欄に「BOM6.0SR2_202111」の更新プログラムが表示されます。
    • 名前欄に「BOM6.0SR2_202111」が存在しない場合、本モジュールの適用が必要です。

 

[適用手順]
モジュールの適用方法につきましては、以下のリンクよりダウンロードしたアーカイブに同梱されている「readme.txt」を参照してください。

 

[更新履歴]
2022/1/26

初版公開

2022/5/20

ダウンロードファイルの公開を終了

[公開終了] BOM for Windows Ver.6.0 SR2 向けアップデートモジュール (202111)