Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Spring Framework」の脆弱性、2017年の「Struts」脆弱性を想起させる危険度

同社において脆弱性を狙ったと見られるアクセスは4月11日の時点で確認されていない。一方「Spring Framework」は、Javaのウェブアプリケーションフレームワークとして人気が高く、急速に普及が進んでいることから、影響範囲は広範囲にわたるおそれがあると分析。

2017年には、同じくウェブアプリケーションフレームワークである「Apache Struts」の脆弱性に対する攻撃が急激に広がり、国内外で被害をもたらしたが、今回明らかになった脆弱性に関しても悪用が容易であり、同様に攻撃の増加が懸念されることから、同社では警戒を強めている。

今回の問題に対し、開発元のPivotal Softwareでは、すでにアップデートとして「同5.0.5」「同4.3.16」を公開しており、適用することで同脆弱性を含む3件の脆弱性を解消することが可能。セキュリティ機関からもアップデートが呼びかけられている

セキュリティ対策製品におけるシグネチャーに関しては、今後1、2週間でリリースされると同社では見ており、ウェブアプリケーションファイアウォール(WAF)のカスタムシグネチャについて、検証を進めている段階だという。

(Security NEXT - 2018/04/11 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

サードパーティ製ソフトに起因する脆弱性7件を修正 - Atlassian
「Spring Framework」にサービス拒否の脆弱性
Juniper製SIEMに複数の脆弱性 - 重要度「クリティカル」
「Spring Framework」に複数の脆弱性 - 重要度「Critical」も
「Apache Camel」にLDAPインジェクションの脆弱性
「Spring Security」に複数の脆弱性 - アップデートにて修正
「TERASOLUNA Global Framework」などの旧版に脆弱性
米CISA、悪用済み脆弱性リストに10件追加 - 早急に対処を
クリプトマイナーの感染攻撃に「Spring4Shell」を悪用
「Spring4Shell」狙う攻撃が発生 - ボット「Mirai」感染活動に悪用