はじめに

近年のJava Frameworkとしては一番有名で多くのWebアプリケーションで利用されているSpringFrameworkの脆弱性が報告されました。

https://news.yahoo.co.jp/articles/7ac22399534170da9792cebfa5e507d68a5f6effnews.yahoo.co.jp

問題について

• JDK9以上で実行されるSpring Frameworkでリモートコード実行が可能な脆弱性が確認されたとのこと。
• Spring FrameworkはJavaで採用される主流なフレームワークの1つのため、Javaで実行されるWebアプリケーションで利用している可能性がある。
• Spring FrameworkはSpring Bootでも使用されており、近年ではSpring Bootを活用したWebアプリケーションが多く実装されており、広範囲のWebアプリに影響が考えられる。

脆弱性を利用した悪用について

• 脆弱性を悪用された場合、リモートから任意コード実行が行われることで、機密情報の窃取やサーバーの乗っ取り等の影響を受ける恐れがある。

影響を受ける条件

• 実行される環境がJDK9以上
• 影響を受けるSping Frameworkバージョンを利用
• 影響を受けるSpring Frameworkバージョンを包括したSpring Bootを利用

影響を受けるバージョン

• Spring Framework　　5.3.0～5.3.17
• Spring Framework　　5.2.0～5.2.19
• Spring Boot 2.6
• Spring Boot 2.5

最新版への更新

• 脆弱性へ対応したバージョンに更新する。

■バージョンと推奨対策
Spring Framework 5.3　　5.3.18以上に更新
Spring Framework 5.2　　5.2.20以上に更新

• Spring Bootを利用している場合はSpring Framework 5.3.18に依存しているため脆弱性対応のバージョンに更新する。

■バージョンと推奨対応策
Spring Boot 2.6 2.6.6以上に更新
Spring Boot 2.5 2.5.12以上に更新

さいごに

インターネットを検索する限り、悪用の実績はまだ見受けられません。
ただし、SpringFrameworkを活用している場合、Webアプリケーションであるため、インターネットシステムは早急な対応が求められると思います。