脆弱性「CVE-2024-520246」のChemaxon製品への影響について

最近報告された脆弱性、CVE-2024-520246のChemaxon製品への影響についてお知らせいたします。

この脆弱性は、NISTによる分析が待たれ、NVD（National Vulnerability Database）にスコアが割り当てられる前ですが、他の研究によりすでに深刻な影響の可能性が確認されているため、お客様に以下の情報を共有させていただきます。

この脆弱性により、悪意のある第三者が、Apache MINA の特定の欠陥を悪用し、MINA コアバージョン 2.0.X、2.1.X、および 2.2.X に影響を与え、リモートコード実行（RCE）攻撃の可能性につながる可能性があります。

重要なのは、NVDの記事によると、この脆弱性は「IoBuffer#getObject()メソッドが呼び出された場合のみに適用され、この特定のメソッドは、フィルタチェーンでObjectSerializationCodecFactoryクラスを使用してProtocolCodecFilterインスタンスを追加する際に呼び出される可能性がある」ことです。

Chemaxon製品には、Apache MinaのObjectSerializationDecoderのこの特定の実装と使用は含まれておらず、Chemaxon製品はCVE-2024-520246の脆弱性の影響を受けないことをご報告申し上げます。

Chemaxonでは、特定されたアプリケーションの脆弱性に対処し続けるというアプローチに沿って、新リリースには、特定された該当する脆弱性に対する修正も含まれます。