JavaアプリケーションフレームワークSpringのサーバーレス実行環境を提供する「Spring Cloud Function」3.2.2と3.1.6、またはそれ以前のバージョンにおいて、ローカルリソースへのアクセスが可能となる脆弱性(CVE-2022-22963)に関する情報が公開されました。
この脆弱性を悪用することで、ローカルリソースへアクセスされる恐れがありますので、下記の情報などを参考に対策を実施することが推奨されます。
CVE-2022-22963: Spring Expression Resource Access Vulnerability
https://tanzu.vmware.com/security/cve-2022-22963
また、CVE-2022-22963とは別に「Spring Framework」において、リモートコード実行の脆弱性が確認されています。こちらは、日本時間3月31日時点では、脆弱性の識別番号(CVE)が割り当てられていないものの、想定される影響から通称「Spring4Shell」と呼ばれています。
SiteGuard シリーズでは、2022年3月31日にリリース済みの最新のトラステッド・シグネチャで、該当の脆弱性を悪用した攻撃に利用されるパターンを検出します。
(CVE-2022-22963および「Spring4Shell」に対応しています。)
追加情報が公開された場合は、随時対応状況を更新いたします。
*** 更新: 2022年4月1日 ***
Spring Frameworkのリモートコード実行「通称:Spring4Shell」について、CVE-2022-22965が採番されました。
CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+
https://tanzu.vmware.com/security/cve-2022-22965
ソフトウェアやフレームワークに深刻な脆弱性が発見された場合の緊急的な対策の一つとして、WAF(ウェブアプリケーションファイアウォール)は大きな効果を発揮します。また、日々のウェブサイトの運用、脆弱性対策におけるセーフティネットとしての役割を担います。
国産ソフトウェアWAF「SiteGuardシリーズ」は、業種・業態を問わず数多くの導入実績をもち、レンタルサーバー事業者でのWAF機能として標準実装されている実績から、保護対象サイト数は100万を超えています。国産製品の場合、管理インタフェースやマニュアルの日本語対応はもちろんのこと、開発から販売、テクニカルサポートまで、お客様の安心感と満足感につながる国内クローズの対応が可能です。
ワンランク上のウェブサイトのセキュリティ対策に、ぜひ「SiteGuardシリーズ」をご活用ください。
