CodeZine(コードジン)

特集ページ一覧

「Spring Framework」の深刻な脆弱性、通称「Spring4Shell」に対するアップデートが公開

  • LINEで送る
  • このエントリーをはてなブックマークに追加
2022/04/01 18:30

 米VMwareは、同社が提供しているJavaアプリケーションフレームワーク「Spring Framework」に、リモートコード実行が可能になる脆弱性「CVE-2022-22965」が発見されたことを報告している。なお、脅威度は「Critical」であり、Spring Frameworkのバージョン5.3.0~5.3.17、および5.2.0~5.2.19が影響を受ける。

 CVE-2022-22965は、JDK 9以降で実行されているSpring MVCまたはSpring WebFluxアプリケーションにおける、データバインディングを介したリモートコード実行(RCE)に関する脆弱性。インターネット上では「Spring4Shell」と呼ばれ、3月29日(現地時間)頃から議論されていたが、今回脆弱性の識別番号(CVE)が割り当てられた。

 なお、RCEは今回報告されているもののほかに、Spring Cloud Functionにおける脆弱性CVE-2022-22963(脆弱性の影響は「中程度」)、そして悪用することのできない第3の脆弱性が存在する。

 CVE-2022-22965を利用したエクスプロイトは、JDK 9以降、サーブレットコンテナとしてのApache Tomcat、WARとしてのパッケージ化、spring-webmvcまたはspring-webfluxの依存関係が前提となっている。

 アプリケーションがSpring Bootの実行可能なjar形式、つまりデフォルトでデプロイされている場合、エクスプロイトに対して脆弱ではないものの、脆弱性の性質はより一般的であり、それを悪用する他の方法が存在する可能性があることから、十分な注意と対応が必要となる。

 影響を受けるバージョンのSpring Frameworkを使用している場合、バージョン5.3.xのユーザーならバージョン5.3.18以降に、バージョン5.2.xのユーザーならバージョン5.2.20以降にアップデートする必要がある。

関連リンク

  • LINEで送る
  • このエントリーをはてなブックマークに追加

あなたにオススメ

All contents copyright © 2005-2022 Shoeisha Co., Ltd. All rights reserved. ver.1.5