Tenable は、Spring Cloud、Spring Core (Spring4Shell とも呼ばれる) という新しい脆弱性について説明しています。これは、名前が示唆していても、Log4j や Log4Shell とは何の関係もありません。 ただし、Spring4Shell は現在パッチが適用されていないため、ゼロデイ脆弱性となっています。
Tenable のスタッフ リサーチ エンジニアである Satnam Narang が、現在ニュースになっている 4 つの脆弱性、Spring Cloud と Spring Core (別名 Spring4Shell) の違いについて説明します。 また、SpringXNUMXShell に関する FAQ を掲載したブログも提供しています。
Spring4Shell は Log4Shell とは何の関係もありません
「29 月 2022 日、VMware は、機能にビジネス ロジックを実装するためのフレームワークである Spring Cloud Function (CVE-22963-3) の脆弱性に関するアドバイザリをリリースしました。 この脆弱性の現在の CVSSv5.4 評価は 3 です。 ただし、脆弱性は、認証されていない攻撃者によって悪用される可能性があるリモート コード実行の欠陥と見なされるため、CVSSvXNUMX の評価は、この欠陥の真の影響を反映していないようです。
どちらの脆弱性も重大です
CVE-2022-22963 を、Spring4Shell または SpringShell と呼ばれる Spring Core のリモートでコードが実行されるとされる別の脆弱性に関連付ける報告があります。 Spring4Shell には CVE が割り当てられていないため、混乱が生じています。 どちらの脆弱性もリモートでコードが実行される重大な脆弱性ですが、異なるアプリケーションに影響を与える XNUMX つの異なる脆弱性です。
CVE-2022-22963 は、Spring Cloud の一部であるサーバーレス フレームワークである Spring Cloud Function に存在しますが、
Spring4Shell は、Java ベースのエンタープライズ アプリケーションのプログラミングおよび構成モデルである Spring Framework に含まれています。
Spring4Shell は Log4Shell ほど一般的ではありません
命名規則は Log4Shell に似ていますが、Spring4Shell は無関係であり、Log4Shell ほど大きくはないようです。 Spring4Shell には非標準の構成要件がいくつかありますが、どのアプリケーションがそれを実装しているかは不明です。 Log4Shell と同様に、Spring4Shell の完全な範囲と影響を知るにはしばらく時間がかかりますが、Log4Shell ほど重要ではないと言えます。
CVE-2022-22963 のパッチが存在し、Spring Cloud Function の特定のバージョンで利用できます。 これを書いている時点では、Spring4Shell にはパッチがなく、ゼロデイになっています。 詳細については、まもなく明らかになると予想しています。」
詳細は Tenable.com をご覧ください
テナブルについて Tenable は Cyber Exposure の会社です。 世界中の 24.000 を超える企業が Tenable を信頼してサイバーリスクを理解し、軽減しています。 Nessus の発明者は脆弱性の専門知識を Tenable.io に結集し、あらゆるコンピューティング プラットフォーム上のあらゆる資産をリアルタイムで可視化し、保護する業界初のプラットフォームを提供します。 Tenable の顧客ベースには、Fortune 53 の 500%、Global 29 の 2000%、および大規模な政府機関が含まれます。