+420 216 216 850 info@orchitech.cz Po (Mon) - Pá (Fri): 9:00 - 17:00
Orchitech Orchitech
  • Identity Management
  • Řešení
  • Reference
  • Kariéra
  • Blog
  • Kontakt
  • Čeština
  • English

Blog

  • Orchitech > Blog > Blog > CVE-2022-22965: Nová zranitelnost Spring Frameworku (SpringShell)
  • 04 Dub

    CVE-2022-22965: Nová zranitelnost Spring Frameworku (SpringShell)

    Byla objevena kritická zranitelnost velmi rozšířeného Java frameworku Spring, který využíváme i na mnoha námi vyvíjených projektech. Ihned po zveřejnění jsme pro naše zákazníky všechny projekty prověřili a žádný z nich nebyl touto zranitelností postižen. Přesto všechny naše aplikace aktualizujeme.

    Jedná se o CVE-2022-22965 umožňující vzdálené spuštění kódu zneužitím data bindingu. Zranitelnost bývá uváděna pod názvem SpringShell (případně také Spring4Shell).

    Zranitelnost se týká aplikací, které:

    • používají Spring framework verzí 5.3.0 až 5.3.17, 5.2.0 až 5.2.19, nebo starší;
    • mají závislost na spring-webmvc nebo spring-webflux;
    • běží na JDK 9 nebo novějším;
    • jsou sestaveny jako WAR a jsou provozovány v samostatné instanci Tomcatu;
    • používají Apache Tomcat jako Servlet kontejner.

    Opravné verze frameworků již existují (Spring Framework 5.3.18 a 5.2.20, Spring Boot 2.6.6 a 2.5.12), ale pokud nemáte možnost dostatečně rychle upgradovat, lze použít některý z workaroundů:

    • upgrade Apache Tomcat na verze 10.0.20, 9.0.62, or 8.5.78;
    • downgrade na Javu 8; 
    • zakázání bindingu zneužitelných atributů v konfiguraci aplikace.

    Kompletní informace o možných workaroundech a zranitelnosti samotné jsou dostupné v oficiálním oznámení. 

    Úvodní ilustrace: Padlock icons created by Pixel perfect – Flaticon

    Rubriky

    • Blog

    Jsme vývojářská firma z Prahy s vlastním týmem programátorů a deseti lety zkušeností z velkých projektů.

    Prohlédnout reference

    Co děláme

    • Průkazy ISIC
    • Identity & Access Management

     

    • A také hledáme nové kolegy
    • Zásady cookies

    RYCHLÝ KONTAKT

    Koněvova 2660/141

    130 00 Praha 3

    +420 216 216 850
    info@orchitech.cz

    © 2006-2023 Orchitech

    Spravovat Souhlas s cookies
    Abychom poskytli co nejlepší služby, používáme k ukládání a/nebo přístupu k informacím o zařízení, technologie jako jsou soubory cookies. Souhlas s těmito technologiemi nám umožní zpracovávat údaje, jako je chování při procházení nebo jedinečná ID na tomto webu. Nesouhlas nebo odvolání souhlasu může nepříznivě ovlivnit určité vlastnosti a funkce.
    Funkční Vždy aktivní
    Technické uložení nebo přístup je nezbytně nutný pro legitimní účel umožnění použití konkrétní služby, kterou si odběratel nebo uživatel výslovně vyžádal, nebo pouze za účelem provedení přenosu sdělení prostřednictvím sítě elektronických komunikací.
    Předvolby
    Technické uložení nebo přístup je nezbytný pro legitimní účel ukládání preferencí, které nejsou požadovány odběratelem nebo uživatelem.
    Statistické
    Technické uložení nebo přístup, který se používá výhradně pro statistické účely. Technické uložení nebo přístup, který se používá výhradně pro anonymní statistické účely. Bez předvolání, dobrovolného plnění ze strany vašeho Poskytovatele internetových služeb nebo dalších záznamů od třetí strany nelze informace, uložené nebo získané pouze pro tento účel, obvykle použít k vaší identifikaci.
    Marketingové
    Technické uložení nebo přístup je nutný k vytvoření uživatelských profilů za účelem zasílání reklamy nebo sledování uživatele na webových stránkách nebo několika webových stránkách pro podobné marketingové účely.
    Spravovat možnosti Spravovat služby Spravovat dodavatele Přečtěte si více o těchto účelech
    Zobrazit předvolby
    {title} {title} {title}