VMware、Spring Frameworkに深刻な脆弱性「CVE-2022-22965」を発表。修正は公開済み 9
ストーリー by nagazou
脆弱性 部門より
脆弱性 部門より
VMwareは3月31日にJavaアプリケーションフレームワーク「Spring Framework」に脆弱性「CVE-2022-22965」が存在すると発表した。悪用された場合、第三者によるリモートコードが実行される可能性がある。これらは通称「Spring4Shell」または「SpringShell」と呼ばれているという。脆弱性の深刻度は「Critical」。共通脆弱性評価システムCVSS v3のスコアは「9.8」(VMware、JPCERT/CC、INTERNET Watch、Security NEXT)。
脆弱性の対象となる Spring Framework のバージョンはSpring Framework versions 5.3.0から5.3.17、同じく5.2.0から5.2.19となっている。また攻撃を成功させるためには、JDK 9以上を使用している、pache Tomcatをサーブレットコンテナとして使用している、WAR形式でデプロイされている、プログラムがspring-webmvcあるいはspring-webfluxに依存しているなどの条件が揃う必要があるという。VMwareでは脆弱性に対処した「Spring Framework 5.3.18」「同5.2.20」を公開した。JPCERT/CCは、十分なテストを実施の上で適用するよう促している。
またこの直前となる29日にSpring Cloud Functionのバージョン3.1.6および3.2.2とサポートが終了している古いバージョンで、ルーティング機能を有効にしている場合に細工された「SpEL」によって、ローカルリソースへのアクセスを許容してしまう脆弱性「CVE-2022-22963」があるとのことも報告されている(Vmware、ZDNet)。
脆弱性の対象となる Spring Framework のバージョンはSpring Framework versions 5.3.0から5.3.17、同じく5.2.0から5.2.19となっている。また攻撃を成功させるためには、JDK 9以上を使用している、pache Tomcatをサーブレットコンテナとして使用している、WAR形式でデプロイされている、プログラムがspring-webmvcあるいはspring-webfluxに依存しているなどの条件が揃う必要があるという。VMwareでは脆弱性に対処した「Spring Framework 5.3.18」「同5.2.20」を公開した。JPCERT/CCは、十分なテストを実施の上で適用するよう促している。
またこの直前となる29日にSpring Cloud Functionのバージョン3.1.6および3.2.2とサポートが終了している古いバージョンで、ルーティング機能を有効にしている場合に細工された「SpEL」によって、ローカルリソースへのアクセスを許容してしまう脆弱性「CVE-2022-22963」があるとのことも報告されている(Vmware、ZDNet)。
まさか (スコア:0)
まだ spring なんていう時代遅れで危険なフレームワークを使っているやつなんているのか?
Re:まさか (スコア:3)
学習コストというか、かなり前から使っている関係でSpringばかり使っているもので・・・
これでもStrutsより格段に良いと思っていたので、他に良いものがあるなら、ぜひ参考にしたい。
Re:まさか (スコア:1)
Kotlin使うならKtorか、Spring Boot。
Scalaなら… Playは良かったんだけどLightbendが手を引いちゃったからなぁ
Java使うならSpring Boot一択だけど、いまさら新規案件でJava使うメリットは無いからねぇ
まぁでも #4227318 はキチガイっぽいのであんま気にしない方が良いと思う
Re:まさか (スコア:2, おもしろおかしい)
「まだ時代遅れのJava8なんか使ってるのか」
「だから助かった」
# 今回はコレ
Re: (スコア:0)
さてはStrutsと区別ついてないなオメー
(そしてドヤ顔で「時代はLaravel」とか言い出す元コメ)
Re: (スコア:0)
最近、LaravelがドヤっているLivewireとかいうのには驚いた。
これ、どうみてもASPとかJSFの焼き直しじゃないかと。
Re: (スコア:0)
ASPとは全然違うだろ
もしかしてWeb Formsのこと言ってる?
Re: (スコア:0)
詳しそうなので、Eclipse Vert.xについてどう思います?
Re: (スコア:0)
ガイジwww