Springは、Javaアプリケーション用のアプリケーション開発フレームワークおよびリバースコントロールコンテナです。プラットフォームのコア機能は、どのJavaアプリケーションでも使用できますが、Java EE(Enterprise Edition)プラットフォームでWebアプリケーションを開発するための拡張機能もあります。残念ながら、プラットフォームに深刻なセキュリティホールが見つかり、悪意のあるコードをリモートで実行できるようになりました。
Spring4Shell – JavaSpringFrameworkに深刻な脆弱性が発見されました。
VMWare(Springフレームワークを担当)は火曜日の夜にこのケースについて通知を受けることになっていたが、CVE番号を使用して脆弱性を修正し、正式に特定するプロセスは完了していなかったため、ここで対処していると言えます。 -ゼロデイ脆弱性と呼ばれます(ワーカーの名前はSpring4Shell)。この問題は非常に深刻であるため、フレームワークは多くのJavaベースのエンタープライズソフトウェアプラットフォームで使用されています。
この脆弱性は、中国のセキュリティ研究者によって概念実証(PoC)エクスプロイトが公開された後に公開されました。しかし、この事件は非常に不思議なものであったため、脆弱性が発見された直後に彼は自分のTwitterアカウントを削除しました。
CERT /CCセキュリティ研究者のWillDormannは、準備されたエクスプロイトコードが実際に機能することをすぐに確認しました。ただし、マシンに感染するための条件には矛盾があります。
Spring.ioはSpring4Shellの脆弱性を修正します
VMWareは最近、プラットフォームに脆弱性が存在することを公式に確認しました(詳細についてはこちらをご覧ください)。Java Development Kit(JDK)プラットフォームバージョン9以降と、完成したアプリケーションの特定の要件について話していることがわかっています(少なくとも理論的には、まだ開示されていない他の使用方法がある可能性があるため) 。
この脆弱性には、重大な脆弱性として番号CVE-2022-22965が割り当てられています。同時に、開発者はSprimg Framework 5.3.18/5.2.20とSpringBoot2.5.12 / 2.6.6の新しいバージョンをリリースしました。これにより、この脆弱性が修正されるはずです。
出典:セキュリティサービス、Securak、Vesna。
コメントを残す