セキュリティアドバイザリ:Spring Framework の CVE-2022-22965
| アドバイザリ ID: | appd-sa-java-spring4shell-rce |
CVE-2022-22965 CWE-120 | |
| 初版: |
2022 年 4 月 4 日 18:00 PDT | ||
| 最終更新日: |
2022 年 4 月 13 日 11:00 PDT | ||
| バージョン 1.6: | Final | ||
| 回避策: |
なし | ||
| CVSSスコア: | Base 9.8 |
概要
2022 年 3 月 31 日に、JDK 9 以降で実行される Spring MVC および Spring WebFlux アプリケーションに影響を与える Spring Framework の、重大な脆弱性がリリースされました。
- CVE-2022-22965:JDK 9+ に対するデータバインディングを介した JDK 9+Spring Framework RCE 上のデータバインディングによる Spring Framework RCE。
この脆弱性の説明については、「VMware Spring Framework セキュリティ脆弱性レポート」を参照してください。
このアドバイザリは、AppDynamics のお客様がオンプレミスで使用し、適宜アクションを実行する必要がある製品に対処することを目的としています。
AppDynamics の SaaS プラットフォームは継続的に監視され、改善されています。この脆弱性が SaaS のお客様に影響を与える場合は、標準規格のサポートチャネルを通じてお客様に直接ご連絡します。
このアドバイザリは、さらに情報が入手可能になると更新されます。次のリンクから入手できます。https://docs.appdynamics.com/display/PAA/Security+Advisory%3A+CVE-2022-22965+in+Spring+Framework
その他のシスコ製品に関する質問については、「Cisco Public Advisory」を参照してください。
影響を受ける製品
脆弱性がないことが確認された製品
AppDynamics は、以下の製品がこの脆弱性の影響を受けていないことを確認しました。
-
.NETエージェント
- ABAP エージェント(SAP ABAP モニタリング)
- 分析エージェント
- Apache Webサーバーエージェント
-
ブラウザ リアル ユーザー モニタリング(BRUM)
- C/C++ SDK エージェント
- クラスタエージェント
- Config エクスポータツール
- データベースエージェント
- Enterprise Console / コントローラ(オンプレミス)
- EUM GeoServer
- EUM サーバー
- イベントサービス(オンプレミス)
- イベントサービス(SaaS)
- Go Language SDK エージェント
- IBM Integration Bus(IIB)エージェント
- IoT デバイス SDK(C/C++、Java、REST API)
- Javaエージェント
- マシンエージェント
- マシンエージェントの拡張機能
- モバイル RUM エージェント
- ネットワークエージェント
- Node.jsエージェント
- PHPエージェント
- Pythonエージェント
- Ruby エージェント
- ServiceNow ユーティリティ(AppDynamics CMDB 統合)
- 合成サーバー
-
合成プライベートエージェント(Linux ベース)
-
合成プライベートエージェント(Windows ベース)
回避策
この脆弱性に対する回避策はありません。
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)は、アドバイザリで説明されている脆弱性に対して概念実証段階のエクスプロイトコードが入手可能であることを認識しています。
ソース
この脆弱性は、2022 年 3 月 31 日に VMware によって公表されました。
URL
マニュアルの変更履歴
| Version | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.0 | 初回公開リリース | — | Interim |
2022 年 4 月 4 日 18:00 PDT |
| 1.1 | 脆弱性が存在しない製品を更新しました。 | 影響を受ける製品 | Interim | 2022 年 4 月 5 日 12:00 PDT |
| 1.2 | 脆弱性が存在しない製品を更新しました。 | 影響を受ける製品 | Interim | 2022 年 4 月 5 日 22:00 PDT |
| 1.3 | 脆弱性が存在しない製品を更新しました。 | 影響を受ける製品 | Interim | 2022 年 4 月 6 日 15:00 PDT |
| 1.4 | 脆弱性が存在しない製品を更新しました。 | 影響を受ける製品 | Interim | 2022 年 4 月 7 日 10:00 PDT |
| 1.5 | 脆弱性が存在しない製品を更新しました。 | 影響を受ける製品 | Interim | 2022 年 4 月 8 日 13:00 PDT |
| 1.6 | 脆弱性が存在しない製品を更新しました。 | 影響を受ける製品 | Interim | 2022 年 4 月 13 日 11:00 PDT |
このセキュリティアドバイザリに記載されているすべてのソフトウェアまたはリリース(パッチ、アップグレード、およびホットフィックスを含みますが、これらに限定されません)は、一切の保証なしで「現状のまま」で提供されます。AppDynamics は、商品適格性および特定目的への適合性の保証を含め、明示的、黙示的、法定、またはその他のいかなる表明または保証も否認します。いかなる場合においても、AppDynamics、その関連会社、またはそのサプライヤは、相手方が当該損害の可能性を知らされていたとしても、直接的、間接的、付随的、結果的、事業利益の損失、または特別損害を含むいかなる損害についても責任を負わないものとします。一部の州では結果的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限はお客様に適用されない場合があります。
このセキュリティアドバイザリで提供される情報は情報提供のみを目的としており、脆弱性管理などに関して AppDynamics とエンドユーザーとの既存の契約上の義務を変更するものとして解釈されることはありません。エンドユーザーにはこの規定を読み、AppDynamics ソフトウェアの特定の構成および使用例に関して、情報の適用性と影響を独自に分析することが推奨されます。