更新時間:2022/04/01 04:25:04
發佈時間:2022/04/01 04:25:04
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1]:
Spring框架存在漏洞,使攻擊者可自遠端執行任意代碼。此漏洞與日前 Spring 官方所發布之漏洞(CVE-2022-22963 Spring Expression Resource Access Vulnerability)不同,請單位注意。
二、已揭露攻擊程式碼說明[2][3]:
GitHub、paloalto 已有關於此漏洞之攻擊程式碼。
三、影響平台:
若同時符合以下條件,則可能受到漏洞影響:
1.使用 JDK9及以上版本
2.使用 Apache Tomcat 作為Servlet容器
3.以war方式進行部屬
4.使用spring-webmvc或spring-webflux框架
5.使用Spring Framework版本5.3.0至5.3.17、5.2.0至5.2.19,及更舊的版本
四、CVSS向量:CVE-2022-22965[4]
使用版本:CVSS 3.0
分析分數:9.8
影響等級:3
參考來源 vmware
五、建議措施:
1.依Spring官方建議更新 Spring Framework 至 5.3.18 或 5.2.20。
2.若無法即時修補,可評估進行以下緩解措施:
(1)評估於網頁應用防火牆(WAF) 置入規則過濾字串以阻擋,字串如下:"class.*"、"Class.*"、"*.class.*"、"*.Class.*"
(2)參考Spring官方說明Suggested Workarounds章節[1],修改程式碼並重新編譯應用程式。
六、參考資訊:
1.Spring
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
2.GitHub
https://github.com/tweedge/springcore-0day-en
3.paloalto
https://unit42.paloaltonetworks.com/cve-2022-22965-springshell/
4.vmware
https://tanzu.vmware.com/security/cve-2022-22965
5.奧義智慧
建議措施:
參考資料:
影響平台:
情資編號:
FISAC-202204-0026
系統目錄:
資安漏洞
資安類別:
資安訊息情資 / 其他
影響等級:
3
關鍵字:
弱點漏洞