ソフトウェア・インテグリティ

 

[CyRC脆弱性解析]2つの異なるSpringの脆弱性が発見されました – Spring4ShellおよびCVE-2022-22963

先日、さまざまなSpringプロジェクトに影響を与える2つの脆弱性が特定されました。 Spring4ShellとCVE-2022-22963について知っておくべきことについて確認してみましょう。

CyRC Analysis: Spring4Shell Spring vulnerabilities | Synopsys

インターネットは、さまざまなSpringプロジェクトに関連する2つの異なる脆弱性の話題で賑わっています。 この2つは関連性がありませんが、両方の脆弱性がほぼ同時に開示されたため混乱を招いています。

CVE-2022-22963

1つ目はCVE-2022-22963で、Black Duck Knowledge Base™でBDSA-2022-0850として追跡されています。 これは、SpringCloudFunctionのリモートコード実行の脆弱性です。 VMWare(https://tanzu.vmware.com/security/cve-2022-22963)によって中程度の重大度として発行され、多くの研究者がリモートでコードが実行される可能性があることを発見しました。 アップグレード用のパッチはすでに存在するため、影響を受けるユーザーはできるだけ早くアップグレードすることをお勧めします。

Spring4Shell

2番目の脆弱性はCVE-2022-22965(https://tanzu.vmware.com/security/cve-2022-22965)で、これはBlack Duck KnowledgebaseのBDSA-2022-0858です。 これは、多くのセキュリティ研究者がSpring4Shellと呼んでいる脆弱性です。 特定の状況下では、攻撃者は任意のコードを実行できますが、悪用のしやすさは、Spring Frameworkで実行されるコードの記述方法、およびSpringFrameworkの実行方法によって異なります。 Spring Framework(および関連するSpring Boot)の修正バージョンが利用可能で、影響を受けるユーザーは、迅速にアップグレードする必要があります。 詳細については、Springの発表をご覧ください。

セキュリティリスクを管理する

Spring4Shellがどのように進化するかに関係なく、これらの脆弱性は、使用しているオープンソース・コンポーネントと、コンポーネントの公開されている脆弱性を常に把握することの重要性を浮き彫りにします。

Black Duckのようなソフトウェア・コンポジション解析(SCA)ツールを用いれば管理が容易になります。アプリケーションのソフトウェア部品表(SBOM)を構築し、使用したコンポーネントに新しい脆弱性が開示された場合に通知を受け取ることができるのです。

この記事のオリジナルは2022年3月30日に公開され、2022年3月31日に更新されました。

 

この著者によるその他の情報