「Spring Framework」のアップデート公開、深刻な脆弱性に対処

今回は「「Spring Framework」のアップデート公開、深刻な脆弱性に対処」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Javaアプリケーションフレームワークの「Spring Framework」で、遠隔から任意のコードを実行される恐れのある脆弱性が報告された問題で、開発元は米国時間3月31日、脆弱性を修正したアップデートと情報を公開した。ユーザーに早期の適用を呼び掛けている。

 今回の脆弱性は、JDK 9以上で実行されるSpring MVCおよびSpring WebFluxに存在し、脆弱性の共通識別子(CVE)は「CVE-2022-22965」になる。VMwareによれば、影響度は「クリティカル」、共通脆弱性評価システム(CVSS)V3による評価では「9.8」(最高は10.0)となっている。

 開発元によれば、3月29日にAntGroup FGの「codeplutos」氏と「meizjm3i」氏からVMwareに報告があり、影響調査を進めてきたという。セキュリティ研究者らにより「Spring4Shell」という通称も与えられた。

 脆弱性の影響を受けるのは、Spring Framework 5.3.0~5.3.17および5.2.0~5.2.19と、既にサポートされていない古いバージョン。脆弱性を悪用する手法によって、Apache Tomcatをサーブレットコンテナーとして利用していること、WARとしてパッケージ化していること、spring-webmvcもしくはspring-webfluxに依存していることも条件として挙げられている。

 なお、アプリケーションがSpring Bootの実行可能なjarファイルとして展開されている場合は脆弱ではないとされている。ただ、これらの条件は一般的なものであるといい、悪用する手法によっては脆弱性の影響が生じる可能性があるという。

 脆弱性を修正したアップデートバージョンは、Spring Framework 5.3.18および5.2.20になる。また、Spring Framework 5.3.18に依存する場合は、Spring Bootについても新たにリリースされたバージョン2.6.6および2.5.12を適用する必要があるとのこと。開発元は、すぐに修正を適用できないユーザー向けに脆弱性の影響を緩和する方法も紹介している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
Facebookの監督委員会がトランプ氏のアカウント停止に対するパブリックコメントを募集
ネットサービス
2021-02-02 03:53
リングフィット専用マット、ホリが発売 3層構造で耐久性アップ
くらテク
2021-04-08 05:09
エプソン販売、電子決裁サービスで申請処理を最短1日に短縮
IT関連
2023-02-10 20:53
OpenAI、「GPT-4」「DALL・E」「Whisper」などのAPIを一般提供
IT関連
2023-07-08 19:43
雑誌「幼稚園」5月号の付録にセルフレジ 東芝テックが協力 「音声は本物と同じ」
くらテク
2021-03-04 20:40
従業員の維持にはキャリアやスキルアップの機会提供が重要–アマゾン調査
IT関連
2022-11-09 05:29
Sansan、「Bill One」に請求書テンプレートカスタマイズ機能–インボイス制度対応を容易に
IT関連
2023-08-24 04:52
キヤノンS&S、中小企業にカスタマイズ型のIT運用アウトソーシングを提供
IT関連
2024-08-08 12:38
パナソニックHD、階層的な画像認識を実現するマルチモーダル基盤モデルを開発
IT関連
2023-11-24 11:16
ソフトもハードも開発するIoTスタートアップobnizインタビュー、第2回目TC HUBイベントレポート
イベント情報
2021-08-07 21:51
RHEL互換ディストリビューション、SUSEも参入へ。制限なく誰でも利用できるRHEL互換OSを開発していくと
Linux
2023-07-18 20:20
近隣小売り店舗への回帰など、意外な2021年の米不動産業界のトレンド
VC / エンジェル
2021-04-19 16:44
「Windows 10」は2025年10月にサポート終了–ドキュメントに記載
IT関連
2021-06-15 01:07
リース会社の枠を超えた価値提供–三菱HCキャピタルが考える「アセット+α」のDX戦略
IT関連
2024-01-10 16:41