-
Javaアプリフレームワーク「Spring」に複数の脆弱性報告–未確認情報の交錯も
https://japan.zdnet.com/article/35185666/ -
犯罪者はハッキングすりゃいいのか
-
Javaアプリケーションフレームワーク「Spring」において、サーバーレス実行環境の「Spring Cloud Function」で脆弱性が報告された。
これとは別に「Spring Framework」コアにも深刻だとする脆弱性の存在が指摘され、情報が交錯している。VMwareの情報によると、Spring Cloud Functionのバージョン3.1.6および3.2.2とサポートが終了している古いバージョンでは、
ルーティング機能を有効にしている場合に、細工された「SpEL」によって、ローカルリソースへのアクセスを許容してしまう脆弱性(CVE-2022-22963)が存在する。一方のSpring Frameworkのコアには、リモートから任意のコードを実行可能な脆弱性の存在が指摘された。
しかし、日本時間3月31日時点では、脆弱性の識別番号(CVE)が割り当てられていない。
脆弱性の悪用を証明する概念実証(PoC)コードに関する情報がGitHubに公開されている。想定される影響の大きさから3月31日時点では「Spring4Shell」との通称が与えられ、サイバーセキュリティ業界関係者の間では情報が交錯。
上述のSpring Cloud Functionの脆弱性(CVE-2022-22963)と混同しかねないとの指摘も聞かれるため、
有識者が関連情報を集約するウェブサイトを立ち上げ、混乱の沈静化に努めている。 -
どうすんのこれ…
-
>>4
いくらなんでもこれはないだろ -
春だからね
-
log4shellのアレに比べればマシ?
-
JavaSpringって新しい言語か
-
JavaのSpringフレームワーク
いまだ多いIT奴隷案件はこれ使うのが多いみたいね
日本じゃたぶんPythonより全然仕事多い -
これベースにしてるの多そう
-
どんなアプリで使われがちなの
-
>>10
馬鹿じゃねーの -
>>13
疑問に思うことが馬鹿なの?
答えられないほうが馬鹿じゃない? -
log4jはFW関係なく大部分で使われてたからなぁ
Springは割と最近なイメージ、一昔前はStrutsやらSeasar2、EEベースの多かった気がする -
>>11
そうそう、数年前Strutsの案件一杯ある言ってた人が、いまはSpringって言ってる -
>>19
10年くらい前にStruts2捨ててSpring移行したんだが… -
これ使ってる奴隷多いだろ
俺もそうだし
これめんどくさいぞ -
springってむずいよな。
なんでこんなに複雑なもの使ってるのか、Javaでメシ食ってる俺でも分からん。 -
なんでわざわざこんな分かりにくいフレームワーク使わなあかんの
-
javaはもうセキュリティガバガバだから
ブラウザで動かさないようにしたよ -
Struts(2も)が脆弱性だらけで死んで、Springに移行したところが多い
使ってる数が多くなると狙われるのはもうどうしようもない -
j2ee関係って内部的にxmlで色々設定できるようになってるせいかxmlなんて一切使ってなくても文字列でクラス名やらパッケージメイやらをフレームワークに渡す仕様になっていて嫌
-
springが最近とかマジで勉強を放棄したクソしかいないんだな
最近でも使われてるって意味ならわかるが -
>>22
4ねよゴミ
二度と書き込むなよ -
>>22
IT奴隷の案件として増えてきたの最近って意味だよ
まあ俺はJava関連の案件受けないからよくは知らないんだけど -
SpringといえばNTTDataのTERASOLUNA
あんまいい思い出が無い -
>>23
その名前を出すのはやめろ -
結局相手を馬鹿にするのようなやつは
技術的にレベルが低いから
少しでも疑問に思うような人間を叩いて
芽を潰そうとするんだよな -
大企業だとサーバサイドは殆どJavaじゃね
-
>>27
大企業でもJavaをそのまま直接使うなんてことはなくて、何らかのフレームワークと一緒につかうわけよ
それがStrutsとかSpring -
log4jに続いてspringもかい
社畜は4/1から忙しいな -
もう脆弱性だらけのJava捨てろ
C系で十分 -
>>30
使う数が多くなると狙われるだけ
結局いたちごっこ -
NTTデータで思い出したけどintra-martってのもあったな
-
spring結構良くない?
アノテーションとDI好きなんやが
Javaアプリフレームワーク「Spring」に複数の脆弱性報告
嫌儲
コメント