「Spring Framework」のアップデート公開、深刻な脆弱性に対処

今回は「「Spring Framework」のアップデート公開、深刻な脆弱性に対処」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Javaアプリケーションフレームワークの「Spring Framework」で、遠隔から任意のコードを実行される恐れのある脆弱性が報告された問題で、開発元は米国時間3月31日、脆弱性を修正したアップデートと情報を公開した。ユーザーに早期の適用を呼び掛けている。

 今回の脆弱性は、JDK 9以上で実行されるSpring MVCおよびSpring WebFluxに存在し、脆弱性の共通識別子(CVE)は「CVE-2022-22965」になる。VMwareによれば、影響度は「クリティカル」、共通脆弱性評価システム(CVSS)V3による評価では「9.8」(最高は10.0)となっている。

 開発元によれば、3月29日にAntGroup FGの「codeplutos」氏と「meizjm3i」氏からVMwareに報告があり、影響調査を進めてきたという。セキュリティ研究者らにより「Spring4Shell」という通称も与えられた。

 脆弱性の影響を受けるのは、Spring Framework 5.3.0~5.3.17および5.2.0~5.2.19と、既にサポートされていない古いバージョン。脆弱性を悪用する手法によって、Apache Tomcatをサーブレットコンテナーとして利用していること、WARとしてパッケージ化していること、spring-webmvcもしくはspring-webfluxに依存していることも条件として挙げられている。

 なお、アプリケーションがSpring Bootの実行可能なjarファイルとして展開されている場合は脆弱ではないとされている。ただ、これらの条件は一般的なものであるといい、悪用する手法によっては脆弱性の影響が生じる可能性があるという。

 脆弱性を修正したアップデートバージョンは、Spring Framework 5.3.18および5.2.20になる。また、Spring Framework 5.3.18に依存する場合は、Spring Bootについても新たにリリースされたバージョン2.6.6および2.5.12を適用する必要があるとのこと。開発元は、すぐに修正を適用できないユーザー向けに脆弱性の影響を緩和する方法も紹介している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
「ChatGPT Plus」のウェブブラウジング機能、いったん停止に
IT関連
2023-07-06 05:00
リコーが統合型アクセラレータープログラム「TRIBUS 2021」成果発表、スタートアップ企業6社公開・社外から117件の応募
IT関連
2022-02-22 21:19
グリー、ライブ配信を軸に仮想空間「メタバース」事業に参入 3年で約100億円を投資
企業・業界動向
2021-08-08 16:51
「NeXTStep」を懐かしむ人にお勧めのオープンソースOS「Haiku」
IT関連
2023-01-25 15:40
GitHub、AIペアプログラマー「Copilot」のビジネス版と音声操作機能を発表
IT関連
2022-11-12 22:55
中小企業向けERPプラットフォームの独xentralがTiger Globalなどから82.2億円のシリーズB調達
ソフトウェア
2021-08-19 08:50
RHEL互換ディストリビューション、SUSEも参入へ。制限なく誰でも利用できるRHEL互換OSを開発していくと
Linux
2023-07-18 20:20
巨大なSPACが現われるかもしれない
その他
2021-01-27 13:28
スタンドアロンなWebAssemblyランタイム「Wasmer 2.0」正式リリース、Win/Mac/Linux対応。SIMDに対応、実行速度が約50%改善、参照型対応など
WebAssembly
2021-06-22 00:37
心臓リハビリ治療用アプリなどを開発するCaTeが1億円のシード調達、プロダクト開発と臨床研究を加速
IT関連
2022-03-12 16:48
LenovoのITインフラ事業はDellとHPEを追撃できるか
IT関連
2022-09-02 01:12
情報通信研究機構(NICT)が世界最高性能の分解能15センチの航空機搭載用合成開口レーダーを開発、技術実証に成功
IT関連
2022-01-27 20:27
富士通、首都圏の固定的なオフィスを縮小、データ活用で働き方の可視化を推進
IT関連
2023-09-28 16:57
Oktaが無料のパスワードマネージャ「Okta Personal」を公開
セキュリティ
2023-08-31 17:50