-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2018-0017
                                                             JPCERT/CC
                                                            2018-04-17

                  <<< JPCERT/CC Alert 2018-04-17 >>>

             Spring Data Commons の脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2018/at180017.html


I. 概要
2018年4月10日 (現地時間) 、Pivotal Software は、Spring Data Commons に
関する複数の脆弱性情報を公開しました。公開された情報によると、Spring
Data Commons には複数の脆弱性があり、脆弱性を悪用されると、実行している
アプリケーションサーバの実行権限で、リモートから任意の OS コマンドが実
行されるなどの可能性があります。詳細は、Pivotal Software からの情報を参
照してください。

    Pivotal Software
    CVE-2018-1273: RCE with Spring Data Commons
    https://pivotal.io/jp/security/cve-2018-1273
    
    Pivotal Software
    CVE-2018-1274: Denial of Service with Spring Data
    https://pivotal.io/jp/security/cve-2018-1274

JPCERT/CC では、この脆弱性 (CVE-2018-1273) を悪用した実証コードを確認し
ており、リモートから任意の OS コマンドが実行可能であることを確認してい
ます。


II. 対象
Pivotal Software の情報によると、次のソフトウエアが本脆弱性の影響を受け
ます。 

  - Spring Data Commons 1.13 から 1.13.10 (Ingalls SR10)
  - Spring Data Commons 2.0 から 2.0.5 (Kay SR5)
  - Spring Data REST 2.6 から 2.6.10 (Ingalls SR10)
  - Spring Data REST 3.0 から 3.0.5 (Kay SR5)

また、すでにサポートが終了している過去のバージョンにおいても本脆弱性の
影響を受けるとのことです。


III. 対策
Pivotal Software より、本脆弱性を修正したバージョンが公開されています。
十分なテストを実施の上、修正済みバージョンを適用することを推奨します。

  - Spring Data Commons 1.13.11
  - Spring Data Commons 2.0.6
  - Spring Data REST 2.6.11 (Ingalls SR11)
  - Spring Data REST 3.0.6 (Kay SR6)
  - Spring Boot 1.5.11
  - Spring Boot 2.0.1

なお、Spring Boot については、別の問題が修正された Spring Boot 1.5.12
がリリースされています。


IV. 参考情報
    Pivotal Software
    Spring Data
    https://projects.spring.io/spring-data/

    GitHub
    spring-projects/spring-data-commons
    https://github.com/spring-projects/spring-data-commons

    GitHub
    spring-projects/spring-data-rest
    https://github.com/spring-projects/spring-data-rest

    Pivotal Software
    Spring Boot 1.5.11 available now
    https://spring.io/blog/2018/04/05/spring-boot-1-5-11-available-now

    Pivotal Software
    Spring Boot 2.0.1 available now
    https://spring.io/blog/2018/04/05/spring-boot-2-0-1-available-now


今回の件につきまして当センターまで提供いただける情報がございましたら、
ご連絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJa1WSWAAoJEDF9l6Rp7OBIpskH/3mt3JMwWBWEpID3dkaDrA62
S9Ad7kFmV82W9KWVmX/25uQA+Ha7Qj/MaENnzyFfvDCI6YFEswLXZn7EjMfJk48t
nkM1RV1bskxirNLBLYO0J+0eKij/RnoS4DDkkiZiRQSct53kyTt6obBb1u8/8ORN
5Y57DmoN58d6a4JoIDqkWRMOsBe63lIaigqYm6WzagZYwuTJ0b1hsJpm+s0ptUEj
s4ZC1zov5WXeRxMAb/aDsbYz5v35/nReVLWuJZmqXVpaQhmaNcv5iqENV5vBNcHF
AaS9q3Zxe2mG8ctYcsd2TObovcoQ76RihKZT5Ad+X5KLT04sPqAlw4C1xJGjVhU=
=fMXm
-----END PGP SIGNATURE-----