-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2018-0014
                                                             JPCERT/CC
                                                            2018-04-10

                  <<< JPCERT/CC Alert 2018-04-10 >>>

              Spring Framework の脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2018/at180014.html


I. 概要
Pivotal Software は、2018年4月3日、5日、9日 (現地時間) に、Spring Framework
に関する複数の脆弱性情報を公開しました。Spring Framework は、Java の Web
アプリ開発を行うためのフレームワークの 1 つです。公開された情報によると、
Spring Framework には複数の脆弱性があり、脆弱性を悪用されると、実行して
いるアプリケーションサーバの実行権限で、リモートから任意の OS コマンドが
実行されるなどの可能性があります。詳細は、Pivotal Software からの情報を
参照してください。

    Pivotal Software
    CVE-2018-1270: Remote Code Execution with spring-messaging
    https://pivotal.io/jp/security/cve-2018-1270
    
    Pivotal Software
    CVE-2018-1271: Directory Traversal with Spring MVC on Windows
    https://pivotal.io/jp/security/cve-2018-1271
    
    Pivotal Software
    CVE-2018-1272: Multipart Content Pollution with Spring Framework
    https://pivotal.io/jp/security/cve-2018-1272
    
    Pivotal Software
    CVE-2018-1275: Address partial fix for CVE-2018-1270
    https://pivotal.io/jp/security/cve-2018-1275

JPCERT/CC では、この脆弱性の悪用を説明した Web アプリケーションの実証
コードを確認しており、リモートから任意の OS コマンドが実行可能であるこ
とを確認しています。


II. 対象
Pivotal Software の情報によると、次のソフトウエアが本脆弱性の影響を受け
ます。 

  - Spring Framework 5.0 から 5.0.4
  - Spring Framework 4.3 から 4.3.15

また、すでにサポートが終了している過去のバージョンにおいても本脆弱性の
影響を受けるとのことです。


III. 対策
Pivotal Software より、本脆弱性を修正したバージョンが公開されています。
十分なテストを実施の上、修正済みバージョンを適用することを推奨します。

  - Spring Framework 5.0.5
  - Spring Framework 4.3.16


IV. 参考情報
    Pivotal Software
    Spring Framework 5.0.5 and 4.3.15 available now
    https://spring.io/blog/2018/04/03/spring-framework-5-0-5-and-4-3-15-available-now

    Pivotal Software
    Multiple CVE reports published for the Spring Framework 
    https://spring.io/blog/2018/04/05/multiple-cve-reports-published-for-the-spring-framework

    Pivotal Software
    Spring Framework
    https://projects.spring.io/spring-framework/

    GitHub
    spring-projects/spring-framework
    https://github.com/spring-projects/spring-framework


今回の件につきまして当センターまで提供いただける情報がございましたら、
ご連絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJazEPJAAoJEDF9l6Rp7OBITs4H/iEDhZyMQkI0czvz7vdCslKl
D3W9v1XPwV1E2k2rFCuMzNLa/l1EIH8CiDBhEYZwnbbcOpoy7IWavV6t5eriKNYB
Ec9Fi3H8yqjgMzmGaYGBStO6d80ifSrVY7FURQTkrVX8tfl0ps6UUS5GY5CMCNCZ
sOhmjG/SWDIggOQOnfMKf7xdUr+a9+YqPgofrXXtCcHui2bArG66V68zY1UydoXu
dXDOm316maBjhQUfUyvb+3UOkZy20Ya1J0P6GYB8wb+F/Z5codPPHFXt4vCUMXk8
X3uHWNJTD05xS9scpxHBTe7US4P9Ry9AWWOqg129MvRCvR83JRTa3Bh00jfIWI8=
=8hX5
-----END PGP SIGNATURE-----