spring-beans パッケージの RCE 脆弱性について

no extension

通称 “Spring4shell” に絡む情報は錯綜していて,実は私も勘違いしていたのだが,情報の整理のために記事をのこしておく。

Java の Spring Framework に関する脆弱性報告は大きく2つあって,どちらも RCE (Remote Code Execution) 脆弱性だからか,両者がとっちらかっている印象を受ける。

報告された脆弱性のひとつは Spring Cloud Function に絡むもので(CVE-2022-22963),これに関して詳しくは VMWare の記事を見ていただきたい。 これはこれで結構ヤバいっす。

で,もうひとつが本命の org.springframework:spring-beans パッケージの RCE 脆弱性,通称 “Spring4shell” である(CVE-2022-22965)。

Snyk のブログ記事によると

If you’ve used the @Autowired annotation or utilized the magic of constructor injection, you’ve encountered dependency injection in the Spring ecosystem.

In affected versions, an RCE is achievable by manipulating the ClassLoader via a carefully composed HTTP POST request.

At this time, the exploit is only known to be possible with a Java Runtime Environment (JRE) version 9 or greater AND Tomcat version 9 or greater.

だそうな。 これはヤバいわ。

対策としては,既に出ている Spring Framework の最新バージョン(5.2.20 または5.3.18 以降)に更新すればよい。 みんな大好き Spring Boot については,これを含んだバージョンが既に登場している。

というわけで,慌てず騒がず,冷静に対処しましょう。 アップデートは計画的に。

  • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • 深刻度: 緊急 (Score: 9.8)
基本評価基準 評価値
攻撃元区分 ネットワーク
攻撃条件の複雑さ
必要な特権レベル 不要
ユーザ関与レベル 不要
スコープ 変更なし
機密性への影響
完全性への影響
可用性への影響

ブックマーク

参考図書

photo
Spring Boot 2 入門: 基礎から実演まで
原田 けいと (著), 竹田 甘地 (著), Robert Segawa (著)
2020-05-22 (Release 2020-05-22)
Kindle版
B0893LQ5KY (ASIN)
評価     

Spring Boot を勉強することになって急遽買った本。めっさ分かりやすかった。 PDF 版が欲しいくらい(笑) Spring Boot 2.7 対応にアップデートされていた。素敵!

reviewed by Spiegel on 2022-08-14 (powered by PA-APIv5)

photo
Spring Data JPAプログラミング入門
溝口賢司 (著)
秀和システム 2017-08-03 (Release 2018-04-23)
Kindle版
B07CKHR8C1 (ASIN)
評価     

JPA のお勉強用に購入。紙のほうはプレミアが付いてるっぽいが Kindle で買えるよ。固定レイアウトだからブラウザの Kindle Cloud Reader で読めるし。真面目に基本を押さえて書いていて分かりやすい。

reviewed by Spiegel on 2021-08-26 (powered by PA-APIv5)

photo
Effective Java 第3版
Joshua Bloch (著), 柴田 芳樹 (翻訳)
丸善出版 2018-10-30
単行本(ソフトカバー)
4621303252 (ASIN), 9784621303252 (EAN), 4621303252 (ISBN)
評価     

再勉強中。 Kindle 版のほうがちょっと安いが,勤務先でも使いたかったので紙の本にした。

reviewed by Spiegel on 2021-03-17 (powered by PA-APIv5)