各位
Spring Framework の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180014.html
I. 概要Pivotal Software は、2018年4月3日、5日、9日 (現地時間) に、Spring Frameworkに関する複数の脆弱性情報を公開しました。Spring Framework は、Java の Webアプリ開発を行うためのフレームワークの 1 つです。公開された情報によると、Spring Framework には複数の脆弱性があり、脆弱性を悪用されると、実行しているアプリケーションサーバの実行権限で、リモートから任意の OS コマンドが実行されるなどの可能性があります。詳細は、Pivotal Software からの情報を参照してください。
Pivotal Software
CVE-2018-1270: Remote Code Execution with spring-messaging
https://pivotal.io/jp/security/cve-2018-1270
Pivotal Software
CVE-2018-1271: Directory Traversal with Spring MVC on Windows
https://pivotal.io/jp/security/cve-2018-1271
Pivotal Software
CVE-2018-1272: Multipart Content Pollution with Spring Framework
https://pivotal.io/jp/security/cve-2018-1272
Pivotal Software
CVE-2018-1275: Address partial fix for CVE-2018-1270
https://pivotal.io/jp/security/cve-2018-1275
JPCERT/CC では、この脆弱性の悪用を説明した Web アプリケーションの実証コードを確認しており、リモートから任意の OS コマンドが実行可能であることを確認しています。
II. 対象Pivotal Software の情報によると、次のソフトウエアが本脆弱性の影響を受けます。
- Spring Framework 5.0 から 5.0.4
- Spring Framework 4.3 から 4.3.15
また、すでにサポートが終了している過去のバージョンにおいても本脆弱性の影響を受けるとのことです。
III. 対策Pivotal Software より、本脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、修正済みバージョンを適用することを推奨します。
- Spring Framework 5.0.5
- Spring Framework 4.3.16
IV. 参考情報
Pivotal Software
Spring Framework 5.0.5 and 4.3.15 available now
https://spring.io/blog/2018/04/03/spring-framework-5-0-5-and-4-3-15-available-now
Pivotal Software
Multiple CVE reports published for the Spring Framework
https://spring.io/blog/2018/04/05/multiple-cve-reports-published-for-the-spring-framework
Pivotal Software
Spring Framework
https://projects.spring.io/spring-framework/
GitHub
spring-projects/spring-framework
https://github.com/spring-projects/spring-framework
今回の件につきまして当センターまで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT-AT-2018-0014
JPCERT/CC
2018-04-10
JPCERT/CC Alert 2018-04-10
Spring Framework の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180014.html
I. 概要Pivotal Software は、2018年4月3日、5日、9日 (現地時間) に、Spring Frameworkに関する複数の脆弱性情報を公開しました。Spring Framework は、Java の Webアプリ開発を行うためのフレームワークの 1 つです。公開された情報によると、Spring Framework には複数の脆弱性があり、脆弱性を悪用されると、実行しているアプリケーションサーバの実行権限で、リモートから任意の OS コマンドが実行されるなどの可能性があります。詳細は、Pivotal Software からの情報を参照してください。
Pivotal Software
CVE-2018-1270: Remote Code Execution with spring-messaging
https://pivotal.io/jp/security/cve-2018-1270
Pivotal Software
CVE-2018-1271: Directory Traversal with Spring MVC on Windows
https://pivotal.io/jp/security/cve-2018-1271
Pivotal Software
CVE-2018-1272: Multipart Content Pollution with Spring Framework
https://pivotal.io/jp/security/cve-2018-1272
Pivotal Software
CVE-2018-1275: Address partial fix for CVE-2018-1270
https://pivotal.io/jp/security/cve-2018-1275
JPCERT/CC では、この脆弱性の悪用を説明した Web アプリケーションの実証コードを確認しており、リモートから任意の OS コマンドが実行可能であることを確認しています。
II. 対象Pivotal Software の情報によると、次のソフトウエアが本脆弱性の影響を受けます。
- Spring Framework 5.0 から 5.0.4
- Spring Framework 4.3 から 4.3.15
また、すでにサポートが終了している過去のバージョンにおいても本脆弱性の影響を受けるとのことです。
III. 対策Pivotal Software より、本脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、修正済みバージョンを適用することを推奨します。
- Spring Framework 5.0.5
- Spring Framework 4.3.16
IV. 参考情報
Pivotal Software
Spring Framework 5.0.5 and 4.3.15 available now
https://spring.io/blog/2018/04/03/spring-framework-5-0-5-and-4-3-15-available-now
Pivotal Software
Multiple CVE reports published for the Spring Framework
https://spring.io/blog/2018/04/05/multiple-cve-reports-published-for-the-spring-framework
Pivotal Software
Spring Framework
https://projects.spring.io/spring-framework/
GitHub
spring-projects/spring-framework
https://github.com/spring-projects/spring-framework
今回の件につきまして当センターまで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/