Javaアプリフレームワーク「Spring」に複数の脆弱性報告–未確認情報の交錯も

今回は「Javaアプリフレームワーク「Spring」に複数の脆弱性報告–未確認情報の交錯も」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Javaアプリケーションフレームワーク「Spring」において、サーバーレス実行環境の「Spring Cloud Function」で脆弱性が報告された。これとは別に「Spring Framework」コアにも深刻だとする脆弱性の存在が指摘され、情報が交錯している。

 VMwareの情報によると、Spring Cloud Functionのバージョン3.1.6および3.2.2とサポートが終了している古いバージョンでは、ルーティング機能を有効にしている場合に、細工された「SpEL」によって、ローカルリソースへのアクセスを許容してしまう脆弱性(CVE-2022-22963)が存在する。

 この脆弱性を修正したSpring Cloud Function 3.1.7および3.2.3がリリースされ、VMwareはユーザーに更新を推奨している。脆弱性の影響は「中程度」とされている。

 一方のSpring Frameworkのコアには、リモートから任意のコードを実行可能な脆弱性の存在が指摘された。しかし、日本時間3月31日時点では、脆弱性の識別番号(CVE)が割り当てられていない。脆弱性の悪用を証明する概念実証(PoC)コードに関する情報がGitHubに公開されている。

 想定される影響の大きさから3月31日時点では「Spring4Shell」との通称が与えられ、サイバーセキュリティ業界関係者の間では情報が交錯。上述のSpring Cloud Functionの脆弱性(CVE-2022-22963)と混同しかねないとの指摘も聞かれるため、有識者が関連情報を集約するウェブサイトを立ち上げ、混乱の沈静化に努めている。

 Java関連の脆弱性動向では、2021年12月にログ出力ライブラリーの「Apache Log4j」でリモートから任意のコードを実行可能な脆弱性が発見され、世界的な普及状況から影響が極めて大きく、「Log4Shell」との通称が付けられるなどの騒動に発展した。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
DeepLearning.AIとOpenAI、AIのプロンプトエンジニアリング学習コースを無償提供
IT関連
2023-05-02 22:06
「Python」の登録商標、米Python Software Foundationが再出願 登録済みの企業に不使用取消審判の請求も
くわしく
2021-07-17 05:48
ラッシュが続く中国LiDARメーカーへの投資、Hesaiがシャオミ、美団、政府系CITICなどの主導で328億円超調達
ハードウェア
2021-06-10 11:40
パナソニック、SCMソフト大手Blue Yonderの全株式を取得
IT関連
2021-04-26 16:37
日立、ガバメントクラウド接続を想定したシステム基盤研究に着手
IT関連
2022-07-17 01:36
米国で自動運転車のための国家安全基準がついに決定
IT関連
2022-03-12 10:52
4Kカメラ100台で能楽「葵上」を3D化、後から好きなカメラ位置に再編集 キヤノンと日本IBMが協業
イラスト・デザイン
2021-07-06 13:13
日本は金銭的被害より物理的被害に恐怖–セキュリティ意識調査
IT関連
2022-07-06 01:52
Twitter、世界的指導者アカウントの取り扱いについてのアンケートを開始
アプリ・Web
2021-03-22 09:45
IIJ、デバイス管理とセキュリティを強化–デジタルワークプレイス向け新サービス
IT関連
2025-01-11 00:47
旭化成、従業員の自律的なキャリア形成を支援する学習基盤を構築
IT関連
2023-05-12 03:09
2022年に企業のパブリッククラウド利用が大幅増–矢野経済研究所調べ
IT関連
2023-03-08 11:37
NECソリューションイノベータ、RPA開発のノウハウを一対一で指導するサービス提供
IT関連
2021-04-15 14:26
グラファー、スマホ活用で行政デジタル化を促進–利用自治体は100超に
IT関連
2022-02-25 00:18