Java製品に広く使われているApache Commonsに脆弱性が見つかりました。Copper PDFは、通常の使い方を行っている限りは影響はありません。
この問題のCopper PDFへの影響は次の通りです。
Copper PDFサーバーを起動してドライバでアクセスしている場合:
影響はありません。
Copper PDFのライブラリ(jar)にアプリケーションがリンクしている場合(Copper PDFサーバーを起動しない場合):
アプリケーションがオブジェクトの直列化(Serializer)機能を利用している場合は影響する可能性があります。
問題の詳細
この問題は、Apache Commonsに含まれるorg.apache.commons.collections.functors.InvokerTransformerというクラスが任意のプログラムを実行可能なことに起因しています。Javaのオブジェクトの直列化機能を使って、このクラスを生成させることで、コンピューター上で任意のプログラムを実行されてしまいます。
Copper PDFはInvokerTransformerを含みますが、オブジェクトの直列化機能を使いません。特に、Java以外のPHP, Perl, .NET等の環境から利用する場合は影響はありません。Java版ドライバはApache Commonsの一部のクラスを含んでいますが、InvokerTransformerは除外されています。
ただし、Copper PDFのライブラリをJavaのアプリケーションと直接リンクさせ、なおかつそのアプリケーションが直列化機能を使っている場合は、InvokerTransformerを生成されてしまうことがあります。特にTomcatを使用し、Copper PDFのライブラリをlibディレクトリに入れている場合、クラスパスに含めている場合は影響があります。
WebLogic、WebSphere等のアプリケーション・サーバーを利用している場合はCopper PDFとは関係なく脆弱性の影響がありますので、メーカーによるサポートを受けてください。
問題への対応
11月下旬リリースのCopper PDF3.1.5では本体からもInvokerTransformerを除外します。