Spring Core出現零時差遠端程式攻擊弱點

風險等級: 高度威脅
摘 要: 弱點通告:SpringCore出現零時差遠端程式攻擊弱點,建議請管理者儘速評估更新!
影響系統:
  • Java Development Kit (JDK) versions 9(含)以上版本
  • VMware Spring Framework 5.3.0 to 5.3.16、5.2.0 to
    5.2.19及舊版不受支援的版本
  • VMware Spring Cloud Function 3.1.6 、3.2.2及舊版不受支援的版本
解決辦法: Spring團隊在BST時區3月31日下午,緊急釋出早期更新修補,並發布資安通告,呼籲用戶盡速更新。
(1)VMware Spring Framework 5.3.17+(或之後版本)
(2)VMware Spring Framework 5.2.20+(或之後版本)
(3)VMware Spring Cloud Function 3.1.7(或之後版本)
(4)VMware Spring Cloud Function 3.2.3(或之後版本)
(5)Spring框架5.3.18、5.2.20(或之後版本)
(6)Spring Boot 2.6.6、2.5.12(或之後版本)
細節描述: Spring是個開源的Java框架,此一受到矚目的安全弱點尚未被賦予編號,因此暫且以SpringShell稱之。

未修補的弱點會影響 Java 開發工具包 ( JDK ) 版本 9 及更高版本上的 Spring Core,並且是繞過另一個被追蹤為CVE-2010-1622 的弱點,使未經身份驗證的攻擊者能夠在目標系統上執行任意程式碼。

該零時差弱點利用的弱點與本週在應用程式框架中披露的兩個弱點不同,包括Spring Framework expressionDoS弱點(CVE-2022-22950)和Spring Cloud expression資源訪問弱點(CVE-2022-22963)。

參考資訊: thehackernews
CVE-2022-22950
CVE-2022-22963
iThome