ニュース

「Spring Framework」に深刻な脆弱性、「Spring4Shell」に対処したバージョンを公開

 Javaのウェブアプリ開発を行うためのフレームワーク「Spring Framework」に脆弱性(通称「Spring4Shell」)が確認されたとして、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)および脆弱性対策情報ポータルサイト「JVN(Japan Vulnerability Notes)」が情報を公開した。

 Spring Frameworkには、データバインディングで使用する、CachedIntrospectionResultsクラス内のPropertyDescriptorオブジェクトの不適切な処理により、認証されていないリモートの攻撃者によって任意のJavaコードを実行される脆弱性(CVE-2022-22965)が存在する。その結果、遠隔の第三者によりclass.classLoaderを呼び出され、システム内で任意のJavaコードが実行される恐れがある。

 VMWareによると、脆弱性の深刻度は「Critical」。共通脆弱性評価システムCVSS v3のスコアは「9.8」となる。

 なお、脆弱性を悪用する攻撃を成功させるためには複数の条件が必要であり、2022年4月1日時点で、同社が報告を受けた攻撃シナリオにおいては、以下の条件が必要だという。

  • JDK 9以上を使用している
  • Apache Tomcatをサーブレットコンテナとして使用している
  • WAR形式でデプロイされている
  • プログラムがspring-webmvcあるいはspring-webfluxに依存している

 このほかにも脆弱性の影響を受ける条件が存在する可能性があるため、今後公開される情報を注視するよう呼び掛けている。

 脆弱性の影響を受けるのは、Spring Framework 5.3.0~5.3.17およびSpring Framework 5.2.0~5.2.19のほか、サポートが終了した古いバージョンが対象になる。VMwareでは脆弱性に対処したSpring Framework 5.3.18以降およびSpring Framework 5.2.20を公開しており、JPCERT/CCは、十分なテストを実施の上で適用するよう促している。