Springは「Spring4Shell」のゼロデイ攻撃を確認し、パッチを適用したアップデートをリリースします – threcord.media(tech)

Stoyanchevは、Spring Frameworkバージョン5.3.0から5.3.17、5.2.0から5.2.19、およびそれ以前のバージョンの使用を含め、デプロイメントが脆弱になるためにはいくつかのパラメーターを設定する必要があると説明しました。
VMwareはその評価を繰り返し、アプリケーションがSpring Boot実行可能jar、つまりデフォルトとしてデプロイされている場合、エクスプロイトに対して脆弱ではないと付け加えました。
Spring4ShellとLog4j
Chappellは、Springの問題とユビキタスなLog4jの間に多くの類似点がありますが、攻撃者は特定のインスタンスを調査するために追加の作業を行う必要があり、弱点はJavaアプリケーションの特定の構成に依存しているため、攻撃者がエクスプロイト。
「ContrastLabsチームは、Springアプリケーションがバインディングを処理する方法により、このエクスプロイトを証明しました。Log4jよりも大きな影響を与える可能性があると考えています。私たちのチームは、この脆弱性の調査を続けています」とLindner氏は述べています。
「これがSpringにとってどれほど真実であるかは不明ですが、RCEの問題は、セキュリティチームが対処するために山の頂上に直接行く必要があります」と彼は説明しました。