米VMwareは、同社が提供しているJavaアプリケーションフレームワーク「Spring Framework」に、リモートコード実行が可能になる脆弱性「CVE-2022-22965」が発見されたことを報告している。なお、脅威度は「Critical」であり、Spring Frameworkのバージョン5.3.0~5.3.17、および5.2.0~5.2.19が影響を受ける。
CVE-2022-22965は、JDK 9以降で実行されているSpring MVCまたはSpring WebFluxアプリケーションにおける、データバインディングを介したリモートコード実行(RCE)に関する脆弱性。インターネット上では「Spring4Shell」と呼ばれ、3月29日(現地時間)頃から議論されていたが、今回脆弱性の識別番号(CVE)が割り当てられた。
なお、RCEは今回報告されているもののほかに、Spring Cloud Functionにおける脆弱性CVE-2022-22963(脆弱性の影響は「中程度」)、そして悪用することのできない第3の脆弱性が存在する。
CVE-2022-22965を利用したエクスプロイトは、JDK 9以降、サーブレットコンテナとしてのApache Tomcat、WARとしてのパッケージ化、spring-webmvcまたはspring-webfluxの依存関係が前提となっている。
アプリケーションがSpring Bootの実行可能なjar形式、つまりデフォルトでデプロイされている場合、エクスプロイトに対して脆弱ではないものの、脆弱性の性質はより一般的であり、それを悪用する他の方法が存在する可能性があることから、十分な注意と対応が必要となる。
影響を受けるバージョンのSpring Frameworkを使用している場合、バージョン5.3.xのユーザーならバージョン5.3.18以降に、バージョン5.2.xのユーザーならバージョン5.2.20以降にアップデートする必要がある。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
