Japan
サイト内の現在位置
Spring Frameworkにおける不適切なデータバインディング処理による任意コード実行の脆弱性
掲載番号:NV22-008
脆弱性情報識別番号:JVNVU94675398
概要
Spring Frameworkは、Java言語でWebアプリケーションなどを作成するために用いられるフレームワークです。Spring Frameworkには、データバインディングで使用する、CachedIntrospectionResultsクラス内のPropertyDescriptorオブジェクトを安全に処理しない脆弱性(CVE-2022-22965)があります。その結果、攻撃者によりclass.classLoaderを呼び出され、システム内で任意のJavaコードが実行される可能性があります。
・JDK 9以上を使用している
・Apache Tomcatをサーブレットコンテナとして使用している
・WAR形式でデプロイされている
・プログラムがspring-webmvcあるいはspring-webfluxに依存している
ただし、上記以外にも攻撃が成功するための条件が存在する可能性があります。今後公開される情報を注視してください。
対象製品
SimpWright
対象となる製品のバージョン
SimpWright 8.0.0, 8.0.0_1, 8.0.0_2, 8.0.1
※SimpWright V7以前のバージョンは影響ありません。
対処方法
対応用のモジュールを提供しています。
NECサポートポータルにログイン後、下記のURLから修正モジュールのダウンロードページに遷移できます。
<NECサポートポータルサイト>
https://www.support.nec.co.jp/
コンテンツURL
https://support.pf.nec.co.jp/View.aspx?id=9010110182
または該当修正モジュールのコンテンツIDの 9010110182 で検索し、
「【【SimpWright】Spring Framework における脆弱性(CVE-2022-22965)対策用修正モジュール」
ページからダウンロードしてください。
■適用方法
ダウンロードファイルに修正モジュール、および適用手順を記載したSpring Frameworkにおける脆弱性(CVE-2022-22965)対応修正パッチ.pdfが含まれておりますので確認の上適用を行ってください。
NECサポートポータルから入手できない場合は、SimpWright製品のMLまでご連絡ください。
<製品ML>
simpwright[@]nes.jp.nec.com
NEC Enhanced Video Analytics
対象となる製品のバージョン
v3.5.4向けGUI・SPUI
対処方法
最新のバージョンにアップデートしてください。
NEC Software Robot Solution
対象となる製品のバージョン
NEC Software Robot Solution for Biz v1.0 (v11.1.0.6、v11.1.0.4、v10.7.x)
※Java11をインストールしてTomcatを実行している場合のみ、影響を受けます。
対処方法
以下のリンクより対処方法を確認してください。(サポートポータルへのログインが必要です。)
https://www.support.nec.co.jp/View.aspx?&id=3010103871
参考情報
JVNVU#94675398
https://jvn.jp/vu/JVNVU94675398/index.html
CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+
https://tanzu.vmware.com/security/cve-2022-22965
Spring Framework RCE, Early Announcement
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
更新情報
- 2024/11/29
-
NEC Software Robot Solution を登録しました。
- 2023/09/01
-
NEC Enhanced Video Analytics を登録しました。
- 2022/08/05
-
SimpWright を登録しました。