はじめに
近年のJava Frameworkとしては一番有名で多くのWebアプリケーションで利用されているSpringFrameworkの脆弱性が報告されました。
https://news.yahoo.co.jp/articles/7ac22399534170da9792cebfa5e507d68a5f6effnews.yahoo.co.jp
問題について
- JDK9以上で実行されるSpring Frameworkでリモートコード実行が可能な脆弱性が確認されたとのこと。
- Spring FrameworkはJavaで採用される主流なフレームワークの1つのため、Javaで実行されるWebアプリケーションで利用している可能性がある。
- Spring FrameworkはSpring Bootでも使用されており、近年ではSpring Bootを活用したWebアプリケーションが多く実装されており、広範囲のWebアプリに影響が考えられる。
影響を受ける条件
- 実行される環境がJDK9以上
- 影響を受けるSping Frameworkバージョンを利用
- 影響を受けるSpring Frameworkバージョンを包括したSpring Bootを利用
影響を受けるバージョン
- Spring Framework 5.3.0~5.3.17
- Spring Framework 5.2.0~5.2.19
- Spring Boot 2.6
- Spring Boot 2.5
最新版への更新
- 脆弱性へ対応したバージョンに更新する。
■バージョンと推奨対策
Spring Framework 5.3 5.3.18以上に更新
Spring Framework 5.2 5.2.20以上に更新
- Spring Bootを利用している場合はSpring Framework 5.3.18に依存しているため脆弱性対応のバージョンに更新する。
■バージョンと推奨対応策
Spring Boot 2.6 2.6.6以上に更新
Spring Boot 2.5 2.5.12以上に更新
さいごに
インターネットを検索する限り、悪用の実績はまだ見受けられません。
ただし、SpringFrameworkを活用している場合、Webアプリケーションであるため、インターネットシステムは早急な対応が求められると思います。