Javaアプリフレームワーク「Spring」に複数の脆弱性報告--未確認情報の交錯も

ZDNET Japan Staff

2022-03-31 11:16

 Javaアプリケーションフレームワーク「Spring」において、サーバーレス実行環境の「Spring Cloud Function」で脆弱性が報告された。これとは別に「Spring Framework」コアにも深刻だとする脆弱性の存在が指摘され、情報が交錯している。

 VMwareの情報によると、Spring Cloud Functionのバージョン3.1.6および3.2.2とサポートが終了している古いバージョンでは、ルーティング機能を有効にしている場合に、細工された「SpEL」によって、ローカルリソースへのアクセスを許容してしまう脆弱性(CVE-2022-22963)が存在する。

 この脆弱性を修正したSpring Cloud Function 3.1.7および3.2.3がリリースされ、VMwareはユーザーに更新を推奨している。脆弱性の影響は「中程度」とされている。

 一方のSpring Frameworkのコアには、リモートから任意のコードを実行可能な脆弱性の存在が指摘された。しかし、日本時間3月31日時点では、脆弱性の識別番号(CVE)が割り当てられていない。脆弱性の悪用を証明する概念実証(PoC)コードに関する情報がGitHubに公開されている。

 想定される影響の大きさから3月31日時点では「Spring4Shell」との通称が与えられ、サイバーセキュリティ業界関係者の間では情報が交錯。上述のSpring Cloud Functionの脆弱性(CVE-2022-22963)と混同しかねないとの指摘も聞かれるため、有識者が関連情報を集約するウェブサイトを立ち上げ、混乱の沈静化に努めている。

「Spring4Shell」脆弱性のロゴは用意されている
「Spring4Shell」脆弱性のロゴは用意されている

 Java関連の脆弱性動向では、2021年12月にログ出力ライブラリーの「Apache Log4j」でリモートから任意のコードを実行可能な脆弱性が発見され、世界的な普及状況から影響が極めて大きく、「Log4Shell」との通称が付けられるなどの騒動に発展した。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]