独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月31日、DataSpider Servista におけるハードコードされた暗号鍵の使用の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。スズキ株式会社の佐藤信弥氏、株式会社ラックの大熊陽氏が報告を行っている。影響を受けるシステムは以下の通り。
DataSpider Servista 4.4 およびそれ以前のバージョン
株式会社 セゾン情報システムズが提供する DataSpider Servista は、データ連携ソフトウェアで、ScriptRunner および ScriptRunner for Amazon SQS は、作成したデータ連携の処理を外部から実行するためのインターフェース。
ScriptRunner および ScriptRunner for Amazon SQS には、すべてのユーザに共通する同一の暗号鍵がハードコードされている脆弱性が存在し、攻撃対象の DataSpider Servista にアクセス可能な第三者が ScriptRunner または ScriptRunner for Amazon SQS の起動設定ファイルを入手した場合、起動設定ファイルに記載されたユーザの権限で操作を実行される可能性がある。
JVNでは、対応するパッチモジュールを適用した上で、起動設定ファイルに対して必要な手順を実施するよう呼びかけている。