Уязвимость модуля Spring Core программной платформы Spring Framework связана с применением входных данных с внешним управлением для выбора классов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2022-01631
CVE-2022-22965
Установка обновлений из доверенных источников (после выхода исправлений).
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование межсетевых экранов прикладного уровня (WAF) для фильтрации строк, содержащих значения: «class.», «Class.», «.class.», и «.Class.»;
- модификация контроллеров Spring Framework в части аннотации @ InitBinder путем дополнения вызова метода dataBinder.setDisallowedFields строками «class.», «Class.», «.class.», и «.Class.»;
- добавление в проект глобального класса, обеспечивающего вызов метода dataBinder.setDisallowedFields для добавления в «черный список» строк «class.», «Class.», «.class.», и «.Class.»;
- использование JDK версии 8 или более ранних;
Информация от производителя:
https://tanzu.vmware.com/security/CVE-2022-22965
Уязвимость получила название Spring4Shell
Уязвимое программное обеспечение Spring Framework с версией JDK 9.0 и выше
BDU:2022-01631
CVE-2022-22965
Установка обновлений из доверенных источников (после выхода исправлений).
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование межсетевых экранов прикладного уровня (WAF) для фильтрации строк, содержащих значения: «class.», «Class.», «.class.», и «.Class.»;
- модификация контроллеров Spring Framework в части аннотации @ InitBinder путем дополнения вызова метода dataBinder.setDisallowedFields строками «class.», «Class.», «.class.», и «.Class.»;
- добавление в проект глобального класса, обеспечивающего вызов метода dataBinder.setDisallowedFields для добавления в «черный список» строк «class.», «Class.», «.class.», и «.Class.»;
- использование JDK версии 8 или более ранних;
Информация от производителя:
https://tanzu.vmware.com/security/CVE-2022-22965
Уязвимость получила название Spring4Shell
Уязвимое программное обеспечение Spring Framework с версией JDK 9.0 и выше