Javaアプリフレームワーク「Spring」に複数の脆弱性報告--未確認情報の交錯も

ZDNET Japan Staff

2022-03-31 11:16

 Javaアプリケーションフレームワーク「Spring」において、サーバーレス実行環境の「Spring Cloud Function」で脆弱性が報告された。これとは別に「Spring Framework」コアにも深刻だとする脆弱性の存在が指摘され、情報が交錯している。

 VMwareの情報によると、Spring Cloud Functionのバージョン3.1.6および3.2.2とサポートが終了している古いバージョンでは、ルーティング機能を有効にしている場合に、細工された「SpEL」によって、ローカルリソースへのアクセスを許容してしまう脆弱性(CVE-2022-22963)が存在する。

 この脆弱性を修正したSpring Cloud Function 3.1.7および3.2.3がリリースされ、VMwareはユーザーに更新を推奨している。脆弱性の影響は「中程度」とされている。

 一方のSpring Frameworkのコアには、リモートから任意のコードを実行可能な脆弱性の存在が指摘された。しかし、日本時間3月31日時点では、脆弱性の識別番号(CVE)が割り当てられていない。脆弱性の悪用を証明する概念実証(PoC)コードに関する情報がGitHubに公開されている。

 想定される影響の大きさから3月31日時点では「Spring4Shell」との通称が与えられ、サイバーセキュリティ業界関係者の間では情報が交錯。上述のSpring Cloud Functionの脆弱性(CVE-2022-22963)と混同しかねないとの指摘も聞かれるため、有識者が関連情報を集約するウェブサイトを立ち上げ、混乱の沈静化に努めている。

「Spring4Shell」脆弱性のロゴは用意されている
「Spring4Shell」脆弱性のロゴは用意されている

 Java関連の脆弱性動向では、2021年12月にログ出力ライブラリーの「Apache Log4j」でリモートから任意のコードを実行可能な脆弱性が発見され、世界的な普及状況から影響が極めて大きく、「Log4Shell」との通称が付けられるなどの騒動に発展した。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]