+420 216 216 850 info@orchitech.cz Po (Mon) - Pá (Fri): 9:00 - 17:00
Orchitech Orchitech
  • Produkty a služby
  • Řešení
  • Reference
  • Kariéra
  • Blog
  • Kontakt
  • Čeština
  • English

Blog

04 Dub

CVE-2022-22965: Nová zranitelnost Spring Frameworku (SpringShell)

Byla objevena kritická zranitelnost velmi rozšířeného Java frameworku Spring, který využíváme i na mnoha námi vyvíjených projektech. Ihned po zveřejnění jsme pro naše zákazníky všechny projekty prověřili a žádný z nich nebyl touto zranitelností postižen. Přesto všechny naše aplikace aktualizujeme.

Jedná se o CVE-2022-22965 umožňující vzdálené spuštění kódu zneužitím data bindingu. Zranitelnost bývá uváděna pod názvem SpringShell (případně také Spring4Shell).

Zranitelnost se týká aplikací, které:

  • používají Spring framework verzí 5.3.0 až 5.3.17, 5.2.0 až 5.2.19, nebo starší;
  • mají závislost na spring-webmvc nebo spring-webflux;
  • běží na JDK 9 nebo novějším;
  • jsou sestaveny jako WAR a jsou provozovány v samostatné instanci Tomcatu;
  • používají Apache Tomcat jako Servlet kontejner.

Opravné verze frameworků již existují (Spring Framework 5.3.18 a 5.2.20, Spring Boot 2.6.6 a 2.5.12), ale pokud nemáte možnost dostatečně rychle upgradovat, lze použít některý z workaroundů:

  • upgrade Apache Tomcat na verze 10.0.20, 9.0.62, or 8.5.78;
  • downgrade na Javu 8; 
  • zakázání bindingu zneužitelných atributů v konfiguraci aplikace.

Kompletní informace o možných workaroundech a zranitelnosti samotné jsou dostupné v oficiálním oznámení. 

Úvodní ilustrace: Padlock icons created by Pixel perfect – Flaticon

Jsme vývojářská firma z Prahy s vlastním týmem programátorů a více než 15 lety zkušeností z velkých projektů.

Prohlédnout reference

Co děláme

  • Produkty a služby
  • Řešení
  • Identity Management (IdM)

 

  • A také hledáme nové kolegy
  • Zásady cookies

RYCHLÝ KONTAKT

Koněvova 2660/141

130 00 Praha 3

+420 216 216 850
info@orchitech.cz

© 2006-2023 Orchitech

Spravovat Souhlas s cookies
Abychom poskytli co nejlepší služby, používáme k ukládání a/nebo přístupu k informacím o zařízení, technologie jako jsou soubory cookies. Souhlas s těmito technologiemi nám umožní zpracovávat údaje, jako je chování při procházení nebo jedinečná ID na tomto webu. Nesouhlas nebo odvolání souhlasu může nepříznivě ovlivnit určité vlastnosti a funkce.
Funkční Vždy aktivní
Technické uložení nebo přístup je nezbytně nutný pro legitimní účel umožnění použití konkrétní služby, kterou si odběratel nebo uživatel výslovně vyžádal, nebo pouze za účelem provedení přenosu sdělení prostřednictvím sítě elektronických komunikací.
Předvolby
Technické uložení nebo přístup je nezbytný pro legitimní účel ukládání preferencí, které nejsou požadovány odběratelem nebo uživatelem.
Statistické
Technické uložení nebo přístup, který se používá výhradně pro statistické účely. Technické uložení nebo přístup, který se používá výhradně pro anonymní statistické účely. Bez předvolání, dobrovolného plnění ze strany vašeho Poskytovatele internetových služeb nebo dalších záznamů od třetí strany nelze informace, uložené nebo získané pouze pro tento účel, obvykle použít k vaší identifikaci.
Marketingové
Technické uložení nebo přístup je nutný k vytvoření uživatelských profilů za účelem zasílání reklamy nebo sledování uživatele na webových stránkách nebo několika webových stránkách pro podobné marketingové účely.
Spravovat možnosti Spravovat služby Spravovat dodavatele Přečtěte si více o těchto účelech
Zobrazit předvolby
{title} {title} {title}