インターネットは、さまざまなSpringプロジェクトに関連する2つの異なる脆弱性の話題で賑わっています。 この2つは関連性がありませんが、両方の脆弱性がほぼ同時に開示されたため混乱を招いています。
1つ目はCVE-2022-22963で、Black Duck Knowledge Base™でBDSA-2022-0850として追跡されています。 これは、SpringCloudFunctionのリモートコード実行の脆弱性です。 VMWare(https://tanzu.vmware.com/security/cve-2022-22963)によって中程度の重大度として発行され、多くの研究者がリモートでコードが実行される可能性があることを発見しました。 アップグレード用のパッチはすでに存在するため、影響を受けるユーザーはできるだけ早くアップグレードすることをお勧めします。
2番目の脆弱性はCVE-2022-22965(https://tanzu.vmware.com/security/cve-2022-22965)で、これはBlack Duck KnowledgebaseのBDSA-2022-0858です。 これは、多くのセキュリティ研究者がSpring4Shellと呼んでいる脆弱性です。 特定の状況下では、攻撃者は任意のコードを実行できますが、悪用のしやすさは、Spring Frameworkで実行されるコードの記述方法、およびSpringFrameworkの実行方法によって異なります。 Spring Framework(および関連するSpring Boot)の修正バージョンが利用可能で、影響を受けるユーザーは、迅速にアップグレードする必要があります。 詳細については、Springの発表をご覧ください。
Spring4Shellがどのように進化するかに関係なく、これらの脆弱性は、使用しているオープンソース・コンポーネントと、コンポーネントの公開されている脆弱性を常に把握することの重要性を浮き彫りにします。
Black Duckのようなソフトウェア・コンポジション解析(SCA)ツールを用いれば管理が容易になります。アプリケーションのソフトウェア部品表(SBOM)を構築し、使用したコンポーネントに新しい脆弱性が開示された場合に通知を受け取ることができるのです。