JPCERT-AT-2018-0017
JPCERT/CC
2018-04-17
Pivotal Software
CVE-2018-1273: RCE with Spring Data Commons
https://pivotal.io/jp/security/cve-2018-1273
Pivotal Software
CVE-2018-1274: Denial of Service with Spring Data
https://pivotal.io/jp/security/cve-2018-1274
JPCERT/CC では、この脆弱性 (CVE-2018-1273) を悪用した実証コードを確認しており、リモートから任意の OS コマンドが実行可能であることを確認しています。
- Spring Data Commons 1.13 から 1.13.10 (Ingalls SR10)
- Spring Data Commons 2.0 から 2.0.5 (Kay SR5)
- Spring Data REST 2.6 から 2.6.10 (Ingalls SR10)
- Spring Data REST 3.0 から 3.0.5 (Kay SR5)
また、すでにサポートが終了している過去のバージョンにおいても本脆弱性の影響を受けるとのことです。
- Spring Data Commons 1.13.11
- Spring Data Commons 2.0.6
- Spring Data REST 2.6.11 (Ingalls SR11)
- Spring Data REST 3.0.6 (Kay SR6)
- Spring Boot 1.5.11
- Spring Boot 2.0.1
なお、Spring Boot については、別の問題が修正された Spring Boot 1.5.12がリリースされています。
Pivotal Software
Spring Data
https://projects.spring.io/spring-data/
GitHub
spring-projects/spring-data-commons
https://github.com/spring-projects/spring-data-commons
GitHub
spring-projects/spring-data-rest
https://github.com/spring-projects/spring-data-rest
Pivotal Software
Spring Boot 1.5.11 available now
https://spring.io/blog/2018/04/05/spring-boot-1-5-11-available-now
Pivotal Software
Spring Boot 2.0.1 available now
https://spring.io/blog/2018/04/05/spring-boot-2-0-1-available-now
今回の件につきまして当センターまで提供いただける情報がございましたら、ご連絡ください。
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT/CC
2018-04-17
I. 概要
2018年4月10日 (現地時間) 、Pivotal Software は、Spring Data Commons に関する複数の脆弱性情報を公開しました。公開された情報によると、Spring Data Commons には複数の脆弱性があり、脆弱性を悪用されると、実行しているアプリケーションサーバの実行権限で、リモートから任意の OS コマンドが実行されるなどの可能性があります。詳細は、Pivotal Software からの情報を参照してください。Pivotal Software
CVE-2018-1273: RCE with Spring Data Commons
https://pivotal.io/jp/security/cve-2018-1273
Pivotal Software
CVE-2018-1274: Denial of Service with Spring Data
https://pivotal.io/jp/security/cve-2018-1274
JPCERT/CC では、この脆弱性 (CVE-2018-1273) を悪用した実証コードを確認しており、リモートから任意の OS コマンドが実行可能であることを確認しています。
II. 対象
Pivotal Software の情報によると、次のソフトウエアが本脆弱性の影響を受けます。- Spring Data Commons 1.13 から 1.13.10 (Ingalls SR10)
- Spring Data Commons 2.0 から 2.0.5 (Kay SR5)
- Spring Data REST 2.6 から 2.6.10 (Ingalls SR10)
- Spring Data REST 3.0 から 3.0.5 (Kay SR5)
また、すでにサポートが終了している過去のバージョンにおいても本脆弱性の影響を受けるとのことです。
III. 対策
Pivotal Software より、本脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、修正済みバージョンを適用することを推奨します。- Spring Data Commons 1.13.11
- Spring Data Commons 2.0.6
- Spring Data REST 2.6.11 (Ingalls SR11)
- Spring Data REST 3.0.6 (Kay SR6)
- Spring Boot 1.5.11
- Spring Boot 2.0.1
なお、Spring Boot については、別の問題が修正された Spring Boot 1.5.12がリリースされています。
IV. 参考情報
Pivotal Software
Spring Data
https://projects.spring.io/spring-data/
GitHub
spring-projects/spring-data-commons
https://github.com/spring-projects/spring-data-commons
GitHub
spring-projects/spring-data-rest
https://github.com/spring-projects/spring-data-rest
Pivotal Software
Spring Boot 1.5.11 available now
https://spring.io/blog/2018/04/05/spring-boot-1-5-11-available-now
Pivotal Software
Spring Boot 2.0.1 available now
https://spring.io/blog/2018/04/05/spring-boot-2-0-1-available-now
今回の件につきまして当センターまで提供いただける情報がございましたら、ご連絡ください。
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/