こんにちは。「クロジカサーバー管理」プリセールスの高瀬です。
2022年4月にSpring Frameworkについて重大な脆弱性(CVE-2022-22965)が発表されました。
悪用されるとリモートコード実行を引き起こされる可能性があり、アメリカ国立標準技術研究所の脆弱性データベースでは危険度がCriticalとなっています。
https://nvd.nist.gov/vuln/detail/CVE-2022-22965
Spring Frameworkを利用しているシステムで特定の条件を満たしていると、最悪の場合リモートから任意のコマンドを実行されてしまう可能性もあります。
脆弱性の対象となるバージョン
影響を受けるバージョンはSpring Framework 5.3.0以上5.3.18未満、もしくは5.2.20未満のバージョン、と発表されています。
https://nvd.nist.gov/vuln/detail/CVE-2022-22965
また、JVNのデータベースによると下記の条件を満たす場合のみ脆弱性の影響を受ける、とのことです。
・JDK 9以上を使用している
・Apache Tomcatをサーブレットコンテナとして使用している
・WAR形式でデプロイされている
・プログラムがspring-webmvcあるいはspring-webfluxに依存している
https://jvn.jp/vu/JVNVU94675398/
脆弱性の対策
フレームワークの開発元から修正版が出ているため、アップデートする形になります。
https://tanzu.vmware.com/security/cve-2022-22965
Webサイトへの影響について
上述の条件を満たしているWebシステムに対して細工されたリクエストを送ることでサーバー上で任意のコマンドを実行される可能性があり、最悪の場合サーバーを乗っ取られてしまう可能性があります。
可能な限り早めのアップデートが必要になりますが、システムの仕様上フレームワークのバージョンアップを早急に行うことが難しい場合、Tomcatのバージョン変更やコード追加など、いくつかの一次対応策も公開されています。
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement#upgrading-tomcat
さいごに
弊社ではお客様サーバーのご利用状況に応じて、エンジニアが日々発表される脆弱性の影響有無を確認して、必要に応じて修正パッケージの適用を行なっております。
サイト制作、運用が多忙でサーバーソフトの脆弱性対策を行うことが難しい場合はぜひご相談くださいませ。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
