インターネットは、さまざまなSpringプロジェクトに関連する2つの異なる脆弱性の話題で賑わっています。 この2つは関連性がありませんが、両方の脆弱性がほぼ同時に開示されたため混乱を招いています。
CVE-2022-22963
1つ目はCVE-2022-22963で、Black Duck Knowledge Base?でBDSA-2022-0850として追跡されています。 これは、SpringCloudFunctionのリモートコード実行の脆弱性です。 VMWare()によって中程度の重大度として発行され、多くの研究者がリモートでコードが実行される可能性があることを発見しました。 アップグレード用のパッチはすでに存在するため、影響を受けるユーザーはできるだけ早くアップグレードすることをお勧めします。
Spring4Shell
2番目の脆弱性は颁痴贰-2022-22965()で、これはBlack Duck KnowledgebaseのBDSA-2022-0858です。 これは、多くのセキュリティ研究者がSpring4Shellと呼んでいる脆弱性です。 特定の状況下では、攻撃者は任意のコードを実行できますが、悪用のしやすさは、Spring Frameworkで実行されるコードの記述方法、およびSpringFrameworkの実行方法によって異なります。 Spring Framework(および関連するSpring Boot)の修正バージョンが利用可能で、影響を受けるユーザーは、迅速にアップグレードする必要があります。 詳細については、をご覧ください。
セキュリティリスクを管理する
厂辫谤颈苍驳4厂丑别濒濒がどのように进化するかに関係なく、これらの脆弱性は、使用しているオープンソース?コンポーネントと、コンポーネントの公开されている脆弱性を常に把握することの重要性を浮き彫りにします。
Black Duckのようなソフトウェア?コンポジション解析(厂颁础)ツールを用いれば管理が容易になります。アプリケーションのソフトウェア部品表(厂叠翱惭)を构筑し、使用したコンポーネントに新しい脆弱性が开示された场合に通知を受け取ることができるのです。
Continue Reading
シノプシス ソフトウェア?インテグリティ?グループの新しいアイデンティティ
AI を活用したPolaris Assistでアプリケーションコードの修正を高速化
2024 OSSRA レポート:オープンソース?コンポーネントの古いコードのリスク
![[CyRC脆弱性勧告]CVE-2023-23846 Open5GS GTPライブラリのサービス拒否の脆弱性](https://images.synopsys.com/is/image/synopsys/cyrc-advisory-open5gs-gtp-library?ts=1697087353416&$responsive$)
