複数の Spring の脆弱性の対応範囲 (CVE-2022-22947、CVE-2022-22950、CVE-2022-22963、CVE-2022-22965)
最終更新: 2022-05-17 11:50:45 Etc/GMT
免責事項
影響を受ける製品
言語:
この記事は、次の言語で表示可能です:
常に適応し続ける XDR エコシステムが企業を活性化するしくみをお伝えします。
Trellix の CEO を務める Bryan Palma が、常に学習するセキュリティが決定的に必要であることを力説します。
Magic Quadrant で、19 のベンダーについてビジョンの完全性と実行能力が評価されました。レポートをダウンロードして詳細をご覧ください。
Gartner によると、XDR は脅威の防止、検出、応答を改善する可能性を秘めた新しい技術です。
2022 年に注意が必要なサイバー セキュリティ脅威は?
サイバー セキュリティ業界に安穏の時はありません。今こそ、この考え方を、ビジネスの活性化につながる利点として、また推進剤として念頭に置くべきです。
サイバー セキュリティの世界で信頼される二大リーダーが 1 つになって、耐久性の高いデジタル ワールドを実現します。
Trellix の CEO を務める Bryan Palma が、常に学習するセキュリティが決定的に必要であることを力説します。
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
複数の Spring の脆弱性の対応範囲 (CVE-2022-22947、CVE-2022-22950、CVE-2022-22963、CVE-2022-22965)
技術的な記事 ID:
KB95447
最終更新: 2022-05-17 11:50:45 Etc/GMT 概要
この記事の最近の更新
Spring のいくつかのコンポーネントで 4 つの異なる脆弱性を積極的に追跡しています。 Spring は、VMware が所有する Java フレームワークです。 これらの Spring の脆弱性については混乱がありました。 Spring に関連する 4 つの脆弱性(固有の脆弱性)を追跡していることを確認できます。
ベンダーのガイダンスに従ってパッチを適用することをお勧めします。 これらの脆弱性の重大性のために、この記事を作成して、お客様が環境内のリスクを軽減するために実行できるアクションについてのコミュニケーションを提供します。 これらの脆弱性を積極的に監視し、それらから保護するためにソリューションを使用する方法を研究しています。 また、潜在的な影響についてすべてのソリューションを確認しています。 SB10380 - REGISTERED - Security Bulletin - Product status for Spring vulnerabilities (CVE-2022-22947, CVE-2022-22963, CVE-2022-22965) を参照してください。 注: 参照されているコンテンツは、ログインしているサービスポータル ユーザーのみ使用できます。 コンテンツを表示するには、リンクをクリックし、プロンプトが表示されたらログインします。 この記事を購読して、関連するカバレッジと対策に関する最新情報を入手してください。 この記事が更新されたときに電子メール通知を受信するには、 契約を更新 ページの右側にあります。購読するには、ログインする必要があります。
詳細については、次の記事を参照してください。 CVE-2022-22947: Spring Cloud Gateway Code Injection Vulnerability CVE-2022-22950: Spring Expression DoS Vulnerability CVE-2022-22963: RCE in Spring Cloud Function by malicious Spring Expression CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+ 問題 1
VMware は 2022 年 3 月 29 日に CVE-2022-22963 をリリースしました。 Spring Cloud コンポーネント バージョン 3.1.6、3.2.2 およびそれ以前のサポートされていないバージョンが影響を受けます。 ルーティング機能を使用する場合、ユーザーは、ローカル リソースへのアクセスにつながる可能性のあるルーティング式として、特別に細工された SpEL を提供することができます。 この問題のパッチが VMware から入手可能であり、Spring Cloud コンポーネントをバージョン 3.1.7 または 3.2.3. にアップグレードします。 問題 2
VMware は、2022 年 3 月 31 日に CVE-2022-22965 をリリースしました。 Spring Framework バージョン 5.3.0 〜 5.3.17、5.2.0 〜 5.2.19、およびそれ以前のサポートされていないバージョンが影響を受けます。 JDK 9+ で実行されている Spring MVC または Spring WebFlux アプリケーションは、データ バインディングを介して RCE に対して脆弱である可能性があります。 影響を受けるバージョンのユーザーは、次のように更新する必要があります: 5.3.x ユーザーは 5.3.18 以降にアップグレードし、5.2.x ユーザーは 5.2.20 以降にアップグレードする必要があります。 問題 3
VMware は、2022 年 3 月 28 日に CVE-2022-22950 をリリースしました。 Spring Framework バージョン 5.3.0 〜 5.3.16、およびそれ以前のサポートされていないバージョンが影響を受けます。 特別に細工された SpEL 式が提供されている場合、この問題により DOS 状態が発生する可能性があります。 Spring Framework バージョン 5.3.17 以降には、この脆弱性の修正が含まれています。
問題 4
VMware は、2022 年 3 月 1 日に CVE-2022-22947 をリリースしました。 Spring Cloud Gateway バージョン 3.1.0、3.0.0 〜 3.0.6、およびそれ以前のサポートされていないバージョンが影響を受けます。 Gateway Actuator エンドポイントが有効化され、公開され、セキュリティで保護されていない場合、リモートの攻撃者が悪意を持って作成された要求を提供し、リモート ホストで任意の RCE を引き起こす可能性があります。 Spring Cloud Gateway バージョン 3.1.1 以降および 3.0.7 以降には、この脆弱性の修正が含まれています。
解決策この記事を購読して、関連するカバレッジと対策に関する最新情報を入手してください。
この記事が更新されたときに電子メール通知を受信するには、 契約を更新 ページの右側にあります。購読するには、ログインする必要があります。
Network Security Platform (NSP) User-Defined Signature: User-Defined Signatures (UDS) は、既知の脆弱性に対する即時の解決策として提供されます。 UDS の詳細については、REGISTERED - NSP Emergency UDS Release Notes - UDS for Multiple Vulnerabilities を参照してください。 注: 参照されているコンテンツは、ログインしているサービスポータル ユーザーのみ使用できます。 コンテンツを表示するには、リンクをクリックし、プロンプトが表示されたらログインします。
免責事項この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。
影響を受ける製品言語:この記事は、次の言語で表示可能です: |
|