Spring Frameworkã®è„†å¼±æ€§ CVE-2022-22965(Spring4shell)ã«ã¤ã„ã¦ã¾ã¨ã‚ã¦ã¿ãŸ - piyolog2022å¹´3月31æ—¥ã€Spring Frameworkã«è‡´å‘½çš„ãªè„†å¼±æ€§ãŒç¢ºèªã•ã‚Œã€ä¿®æ£ç‰ˆãŒå…¬é–‹ã•ã‚Œã¾ã—ãŸã€‚ã“ã“ã§ã¯é–¢é€£ã™ã‚‹æƒ…å ±ã‚’ã¾ã¨ã‚ã¾ã™ã€‚ 1.何ãŒèµ·ããŸã®ï¼Ÿ JDK9以上ã§å®Ÿè¡Œã•ã‚Œã‚‹SpringMVCã€SpringWebFluxã§ãƒªãƒ¢ãƒ¼ãƒˆã‚³ãƒ¼ãƒ‰å®Ÿè¡ŒãŒå¯èƒ½ãªè„†å¼±æ€§ï¼ˆCVE-2022-22965)ãŒç¢ºèªã•ã‚ŒãŸã€‚脆弱性ã®é€šç§°ã«Spring4shellã¾ãŸã¯SpringShellãŒç”¨ã„られã¦ã„る。 Spring Frameworkã¯Javaã§æŽ¡ç”¨ã•ã‚Œã‚‹ä¸»æµãªãƒ•ãƒ¬ãƒ¼ãƒ ワークã®1ã¤ã®ãŸã‚ã€Javaã§å®Ÿè¡Œã•ã‚Œã‚‹Webアプリケーションã§åˆ©ç”¨ã—ã¦ã„ã‚‹å¯èƒ½æ€§ãŒã‚る。 2022å¹´3月31日時点ã§è„†å¼±æ€§ã®ExploitコードãŒå‡ºå›žã£ã¦ãŠã‚Šã€é–¢é€£ã™ã‚‹ã‚¤ãƒ³ã‚¿ãƒ¼ãƒãƒƒãƒˆä¸Šã®æ´»å‹•ãŒæ—¢ã«å ±å‘Šã•ã‚Œã¦ã„る。 2.脆弱性を悪用ã•ã‚Œã‚‹ã¨ä½•ãŒèµ·ãã‚‹ã®ï¼Ÿ 脆弱性を悪用ã•ã‚ŒãŸå ´åˆã€ãƒªãƒ¢ãƒ¼ãƒˆã‹ã‚‰ä»»æ„コード実行ãŒè¡Œã‚れるã“ã¨ã§ã€æ©Ÿå¯†æƒ…å ±ã®
Spring4Shell Details and Exploit Analysis - Cyber Kendra
「Java8ã‹ã‚‰Java11ã€ã§ä½•ãŒèµ·ããŸã®ã‹ã€ã©ã†ç’°å¢ƒæ§‹ç¯‰ã™ã‚Œã°ã„ã„ã®ã‹ - Qiita
IBMã€Java実装「OpenJDKã€ã§Oracleã¨å”力――Apache Harmonyã‹ã‚‰ä¹—ã‚Šæ›ãˆ
「本家Rubyより速ã„ã€ã€JRuby開発者ã«èžã ― ï¼ IT
{{#tags}}- {{label}}
{{/tags}}