Spring Frameworkの脆弱性について
今月、Spring Frameworkの開発元であるPivotal SoftwareがSpring Framework
に関する脆弱性があることを公開しました。
該当のバージョンを使用していて未対応の場合は早急に対応しましょう。
特にインターネントに公開している場合は注意しましょう。
2018年4月発表の脆弱性
この脆弱性をつかれると、実行しているアプリケーションサーバーにリモートで
任意のOSコマンドが実行される可能性があるそうです。
対象バージョン
・Spring Framework 5.0 ~ 5.0.4
・Spring Framework 4.3 ~ 4.3.15
回避策
バージョンUPで回避できるそうです。
・Spring Framework 5.0.5(2018/4の最新)
・Spring Framework 4.3.16
つまりSpring 4.3と最新以外のSpring 5を使っていたら要注意ということですね。
確認はしっかりやらなければいけませんが、4→5へバージョンUPしない限りはソースの修正は不要と思います。
2018年2月発表の脆弱性
今回に限らず、2018年2月にもSpring FrameworkおよびSpring Securityに脆弱性が発見されています。
こちらはリクエストをいじることにより、Spring Securityの認証をスルーされてしまうという脆弱性です。
対象バージョン
・Spring Security 4.1.0 ~ 4.1.4
・Spring Security 4.2.0 ~ 4.2.3
・Spring Security 5.0
・Spring Framework 4.3 ~ 4.3.13
・Spring Framework 5.0 ~ 5.0.2
これ以外にも過去のバージョンも影響を受ける可能性があるそうです。
回避策
2018年4月のも含めると以下のようになります。
Spring Framework
・5.0.x ユーザー → 5.0.5(2018年4月現在の最新版)
・4.3.x ユーザー → 4.3.16
・4.2.x ユーザー → 4.2.4以上
・4.1.x ユーザー → 4.1.5以上
Spring Security
・5.0.x ユーザー → 5.0.1以上
・4.2.x ユーザー → 4.2.4以上
・4.1.x ユーザー → 4.1.5
脆弱性は単なる作りの甘さだけではなく、技術が進歩した故に結果的に脆弱性になってしまったものもあります。
フレームワークはとても便利なものですが、危険性もありますので、Spring Frameworkに限らずフレームワークを導入している方は
こまめに情報をチェックしましょう。
余談ですが、僕はSpring Frameworkのアーキテクチャを勉強中で、Springの参考書を読み漁ってますが、
中でも「Spring 徹底入門」は特におすすめです。Springシステムの基盤を作りたい方とってはバイブル的な
存在と言っても過言ではないと思います。オススメです。
投稿者プロフィール
.png?resize=96%2C96&ssl=1)
-
「kamaの技術ブログ」を管理しているkorns solution(コルンズソリューション) の鎌形と申します。
フリーランスのSEとして活動中です。
Javaの開発がメインですが、インフラも守備範囲ですので、幅広く投稿していきます!!!
最新の投稿
Java2019.01.22Open JDK (Java 11) をインストールする
WordPress2019.01.07気づいたらブログのアクセス件数が増えてました笑
eclipse(pleiades)2018.06.11【2018年版】Spring MVCを適用したWebアプリケーションの作成①~Maven設定編~
WordPress2018.06.08ブログを始めて3ヵ月くらい経ち…ドメインオーソリティが上がりました!