Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Spring Core」にゼロデイ脆弱性「Spring4Shell」の指摘

Rapid7によれば、今回指摘された脆弱性は、インストール直後の環境では悪用できないとしており、アプリケーションが利用する機能に依存すると説明。

同社では、「Spring Framework 5.3.15」から「同4.3.0」の環境においてPoCが動作することを確認したが、脆弱性が依存するアプリケーションの機能は明らかになっていないという。

脆弱性への一時的な緩和策として、ソースコードを変更してフィールドを保護することや、ウェブアプリケーションファイアウォール(WAF)によるアプリケーションの保護、異常な挙動の監視などを挙げている。

また同脆弱性については、同時期に公開された「Spring Cloud Function」の脆弱性「CVE-2022-22963」と混同されるなど、混乱も生じているという。「CVE-2022-22963」については脆弱性を修正するアップデートがリリースされている。

(Security NEXT - 2022/03/31 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

Google、「Chrome 103」をリリース - 重要度「「クリティカル」の脆弱性に対処
独自の脆弱性修正含む「Microsoft Edge 103.0.1264.37」が公開
「OpenSSL」にスクリプトインジェクションの脆弱性 - アップデートが公開
攻撃者視点でネットワークをテストするサービス - ユービーセキュア
テキストエディタ「vim」に深刻な脆弱性 - パッチがリリース
SVG形式を変換するNode.jsパッケージに複数の脆弱性
Foxit、複数脆弱性を解消した「Foxit PhantomPDF 10.1.8」を公開
Foxit製PDF製品に複数の深刻な脆弱性 - アップデートを
「Gitlab」に「SSRF」の脆弱性 - 2月のアップデートで修正済み
会議室用ウェブカメラに脆弱性、詳細も公開 - 米政府は悪用脆弱性リストに追加