Spring Frameworkの任意のコード実行の脆弱性(CVE-2022-22965)について: CMDBuild

2022/4/1 JPCERT/CCよりSpring Frameworkの任意のコード実行の脆弱性(CVE-2022-22965) 別名: Spring4Shellに関するCyberNewsFlashが発表されています。詳細については、以下をご参照ください。
https://www.jpcert.or.jp/newsflash/2022040101.html

(CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。)

【以下抜粋】

対象となるバージョンは以下の通りです

  • Spring Framework 5.3.0から5.3.17
  • Spring Framework 5.2.0から5.2.19
  • すでにサポート終了した過去のバージョン

VMWareによると、同社に報告された攻撃シナリオにおいては、攻撃が成功するためには次の条件が必要だったとのことです。ただし、本脆弱性の影響を受ける条件は他にも存在する可能性があると示唆されており、今後公開される情報を注視する必要があります。

  • JDK 9以上を使用している
  • Apache Tomcatをサーブレットコンテナーとして使用している
  • WAR形式でデプロイされている
  • プログラムがspring-webmvcあるいはspring-webfluxに依存している

CMDBuild V.3.1以降でJDK11を使用している場合、本脆弱性の影響を受ける可能性があります。

【回避策】

VMwareより、対策の適用が難しい場合の回避策に関する情報が公開されています。詳細および最新の情報については、VMwareが提供する情報を参照ください。
Spring Framework RCE, Early Announcement - Suggested Workarounds
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

Tecnoteca社では上記修正を含んだリリース(V.3.4-g)が公開されています。

CMDBuild V.3.4-gにすぐにバージョンアップできない場合は、Tomcat 9.0.62以降に変更することで本脆弱性の対応が可能です。
https://spring.io/blog/2022/04/01/spring-framework-rce-mitigation-alternative