Spring Frameworkの脆弱性について

今月、Spring Frameworkの開発元であるPivotal SoftwareがSpring Framework

に関する脆弱性があることを公開しました。

該当のバージョンを使用していて未対応の場合は早急に対応しましょう。

特にインターネントに公開している場合は注意しましょう。

2018年4月発表の脆弱性

この脆弱性をつかれると、実行しているアプリケーションサーバーにリモートで

任意のOSコマンドが実行される可能性があるそうです。

対象バージョン

・Spring Framework 5.0 ~ 5.0.4

・Spring Framework 4.3 ~ 4.3.15

回避策

バージョンUPで回避できるそうです。

・Spring Framework 5.0.5(2018/4の最新)

・Spring Framework 4.3.16

つまりSpring 4.3と最新以外のSpring 5を使っていたら要注意ということですね。

確認はしっかりやらなければいけませんが、4→5へバージョンUPしない限りはソースの修正は不要と思います。

2018年2月発表の脆弱性

今回に限らず、2018年2月にもSpring FrameworkおよびSpring Securityに脆弱性が発見されています。

こちらはリクエストをいじることにより、Spring Securityの認証をスルーされてしまうという脆弱性です。

対象バージョン

・Spring Security 4.1.0 ~ 4.1.4
・Spring Security 4.2.0 ~ 4.2.3
・Spring Security 5.0
・Spring Framework 4.3 ~ 4.3.13
・Spring Framework 5.0 ~ 5.0.2

これ以外にも過去のバージョンも影響を受ける可能性があるそうです。

回避策

2018年4月のも含めると以下のようになります。

Spring Framework

・5.0.x ユーザー → 5.0.5(2018年4月現在の最新版)

・4.3.x ユーザー → 4.3.16

・4.2.x ユーザー → 4.2.4以上

・4.1.x ユーザー → 4.1.5以上

Spring Security

・5.0.x ユーザー → 5.0.1以上

・4.2.x ユーザー → 4.2.4以上

・4.1.x ユーザー → 4.1.5

 

脆弱性は単なる作りの甘さだけではなく、技術が進歩した故に結果的に脆弱性になってしまったものもあります。

フレームワークはとても便利なものですが、危険性もありますので、Spring Frameworkに限らずフレームワークを導入している方は

こまめに情報をチェックしましょう。

余談ですが、僕はSpring Frameworkのアーキテクチャを勉強中で、Springの参考書を読み漁ってますが、

中でも「Spring 徹底入門」は特におすすめです。Springシステムの基盤を作りたい方とってはバイブル的な

存在と言っても過言ではないと思います。オススメです。

投稿者プロフィール

koki kamagata
koki kamagata
「kamaの技術ブログ」を管理しているkorns solution(コルンズソリューション) の鎌形と申します。

フリーランスのSEとして活動中です。

Javaの開発がメインですが、インフラも守備範囲ですので、幅広く投稿していきます!!!

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です