JPCERT コーディネーションセンター

Spring Framework の脆弱性に関する注意喚起

各位

JPCERT-AT-2018-0014
JPCERT/CC
2018-04-10

JPCERT/CC Alert 2018-04-10


Spring Framework の脆弱性に関する注意喚起

https://www.jpcert.or.jp/at/2018/at180014.html


I. 概要Pivotal Software は、2018年4月3日、5日、9日 (現地時間) に、Spring Frameworkに関する複数の脆弱性情報を公開しました。Spring Framework は、Java の Webアプリ開発を行うためのフレームワークの 1 つです。公開された情報によると、Spring Framework には複数の脆弱性があり、脆弱性を悪用されると、実行しているアプリケーションサーバの実行権限で、リモートから任意の OS コマンドが実行されるなどの可能性があります。詳細は、Pivotal Software からの情報を参照してください。

Pivotal Software
CVE-2018-1270: Remote Code Execution with spring-messaging
https://pivotal.io/jp/security/cve-2018-1270

Pivotal Software
CVE-2018-1271: Directory Traversal with Spring MVC on Windows
https://pivotal.io/jp/security/cve-2018-1271

Pivotal Software
CVE-2018-1272: Multipart Content Pollution with Spring Framework
https://pivotal.io/jp/security/cve-2018-1272

Pivotal Software
CVE-2018-1275: Address partial fix for CVE-2018-1270
https://pivotal.io/jp/security/cve-2018-1275

JPCERT/CC では、この脆弱性の悪用を説明した Web アプリケーションの実証コードを確認しており、リモートから任意の OS コマンドが実行可能であることを確認しています。


II. 対象Pivotal Software の情報によると、次のソフトウエアが本脆弱性の影響を受けます。

- Spring Framework 5.0 から 5.0.4
- Spring Framework 4.3 から 4.3.15

また、すでにサポートが終了している過去のバージョンにおいても本脆弱性の影響を受けるとのことです。


III. 対策Pivotal Software より、本脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、修正済みバージョンを適用することを推奨します。

- Spring Framework 5.0.5
- Spring Framework 4.3.16


IV. 参考情報
Pivotal Software
Spring Framework 5.0.5 and 4.3.15 available now
https://spring.io/blog/2018/04/03/spring-framework-5-0-5-and-4-3-15-available-now

Pivotal Software
Multiple CVE reports published for the Spring Framework
https://spring.io/blog/2018/04/05/multiple-cve-reports-published-for-the-spring-framework

Pivotal Software
Spring Framework
https://projects.spring.io/spring-framework/

GitHub
spring-projects/spring-framework
https://github.com/spring-projects/spring-framework


今回の件につきまして当センターまで提供いただける情報がございましたら、ご連絡ください。

==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ
最新情報(RSSメーリングリストTwitter