Javaアプリフレームワーク「Spring」に複数の脆弱性報告–未確認情報の交錯も

今回は「Javaアプリフレームワーク「Spring」に複数の脆弱性報告–未確認情報の交錯も」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　Javaアプリケーションフレームワーク「Spring」において、サーバーレス実行環境の「Spring Cloud Function」で脆弱性が報告された。これとは別に「Spring Framework」コアにも深刻だとする脆弱性の存在が指摘され、情報が交錯している。

　VMwareの情報によると、Spring Cloud Functionのバージョン3.1.6および3.2.2とサポートが終了している古いバージョンでは、ルーティング機能を有効にしている場合に、細工された「SpEL」によって、ローカルリソースへのアクセスを許容してしまう脆弱性（CVE-2022-22963）が存在する。

　この脆弱性を修正したSpring Cloud Function 3.1.7および3.2.3がリリースされ、VMwareはユーザーに更新を推奨している。脆弱性の影響は「中程度」とされている。

　一方のSpring Frameworkのコアには、リモートから任意のコードを実行可能な脆弱性の存在が指摘された。しかし、日本時間3月31日時点では、脆弱性の識別番号（CVE）が割り当てられていない。脆弱性の悪用を証明する概念実証（PoC）コードに関する情報がGitHubに公開されている。

　想定される影響の大きさから3月31日時点では「Spring4Shell」との通称が与えられ、サイバーセキュリティ業界関係者の間では情報が交錯。上述のSpring Cloud Functionの脆弱性（CVE-2022-22963）と混同しかねないとの指摘も聞かれるため、有識者が関連情報を集約するウェブサイトを立ち上げ、混乱の沈静化に努めている。

　Java関連の脆弱性動向では、2021年12月にログ出力ライブラリーの「Apache Log4j」でリモートから任意のコードを実行可能な脆弱性が発見され、世界的な普及状況から影響が極めて大きく、「Log4Shell」との通称が付けられるなどの騒動に発展した。