Spring4Shellとは

2022年3月31日に、Sprig Frameworkの脆弱性(CVE-2022-22965) が公表されました。リモートからのコード実行が可能で、脆弱性の深刻度を表すスコアCVSSv3は9.8と緊急レベルであり、「Spring4Shell」と呼ばれています。また、Spring Frameworkは、JavaのWebアプリ開発に利用される主要なフレームワークで多くのWebサイトで利用されています。

影響を受ける各プロダクトでリリースされている、 対策済みバージョンを適用する事で対策が可能です。

VMwareについては、下記で警告が出されております。

www.jpcert.or.jp

2021年12月に、Apache log4jの非常に深刻な脆弱性「Log4Shell」が公表され、各所で悪用され大きな被害が発生したことが記憶に新しいですが、今のところ、Spring4Shellが悪用されるには複数の条件を満たす必要があり、Log4Shellと比較し悪用が難しいため、目立った被害は報告されていません。しかし今後、新たな悪用条件が発見される可能が残っており、引き続き、新たな情報に注意する必要があります。

[悪用条件]

• ・Spring Framework 5.3.0から5.3.17
• ・Spring Framework 5.2.0から5.2.19
• 　※サポート終了バージョンも影響を受けます
• ・JDK 9以上を使用している
• ・Apache Tomcatをサーブレットコンテナーとして使用している
• ・WAR形式でデプロイされている
• ・プログラムがspring-webmvcあるいはspring-webfluxに依存している

  tanzu.vmware.com

Springを採用している企業は多いと思いますが、対応パッチのリリースが非常に早かったため、大きな被害は今のところ私も聞いておりません。

ーー

ブログの記事が少しずつニュース時期より遅れつつある今日このごろ・・・

セールス職の年度初めはほんとに忙しいのです。。。