Spring Framework RCE の脆弱性 (CVE-2022-22965) が 2022 年 3 月 31 日に発表されました
脆弱性
Spring Framework は、IOC、AOP、MVC などの機能を提供するオープン ソースの軽量 J2EE アプリケーション開発フレームワークです。 Spring Framework は、プログラマーの開発で遭遇する一般的な問題を解決し、アプリケーション開発の利便性とソフトウェア システムの構築効率を向上させることができます。
この脆弱性は、JDK 9 以降で実行されている Spring MVC および Spring WebFlux アプリケーションに影響を与えます。特定のエクスプロイトでは、アプリケーションを Tomcat で WAR デプロイメントとして実行する必要があります。アプリケーションが Spring Boot 実行可能 jar、つまりデフォルトとしてデプロイされている場合、エクスプロイトに対して脆弱ではありません。
レポートの特定のシナリオの要件は次のとおりです。
- JDK9以上
- サーブレット コンテナとしての Apache Tomcat
- 従来の WAR としてパッケージ化 (Spring Boot 実行可能 jar とは対照的に)
- spring-webmvc または spring-webflux の依存関係
- Spring Framework バージョン 5.3.0 から 5.3.17、5.2.0 から 5.2.19、およびそれ以前のバージョン
ただし、脆弱性の性質はより一般的なものであり、まだ報告されていない他の方法で悪用される可能性があります。
脆弱性の詳細:
- 脆弱性レベル: リスクが高い
- 影響を受けるバージョン:
Spring フレームワーク 5.3.x < 5.3.18
Spring フレームワーク 5.2.x < 5.2.20
- セキュリティ バージョン:
春のフレームワーク = 5.3.18
春のフレームワーク = 5.2.20
推奨される回避策
Spring Framework を 5.3.18、5.2.20 以降のバージョンにアップグレードする
CDNetworks が Spring Framework RCE を緩和する新しいルールを導入
CDNetworks のセキュリティ チームは、このリスクの高い脆弱性に直ちに対応し、CDNetworks のシステムと製品に新しい WAF ルール (9801、9802、9803) を展開して、2022 年 3 月 31 日に Zero Day CVE を緩和しました。
現在ご利用中のお客様 Application Shield
(マルチレイヤWAF) また WAF - ウェブ アプリケーション ファイアウォール 新しいルール (9801、9802、9803) の更新を受信し、CDNetworks のポータルでブロック モードを有効にして、CVE-2022-22965 エクスプロイトの試みを検出し、このゼロデイ CVE を軽減します。
| ルールID | ルール名 | 攻撃タイプ | アクション |
|
9803 |
Spring4shell_3 |
サードパーティのコンポーネントの悪用 |
ブロック |
|
9802 |
Spring4shell_2 |
サードパーティのコンポーネントの悪用 |
ブロック |
|
9801 |
Sping4shell_1 |
サードパーティのコンポーネントの悪用 |
ブロック |
参照: https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
