1. ホーム
  2. サポート
アーティクル - CS366559

ThingWorx Spring4shell CVE-2022-22965 脆弱性インシデント対応

修正日: 13-Oct-2022   


注記:ここに記載されている情報は、お客様の利便性向上のため機械翻訳ソフトを使用しています。PTCは、ここに記載されている情報の翻訳の正確性について、一切の責任を負いませんので、ご了承ください。英語の原文を参照するには、こちら。この機械翻訳に関する詳細は、こちら。
お知らせいただき、ありがとうございます。この機械翻訳をレビューします。

適用対象

  • ThingWorx Platform 9.0 to 9.3
  • Affected versions of Spring framework
  •     5.3.0 to 5.3.17
  •     5.2.0 to 5.2.19
  •     Older, unsupported versions are also affected

説明

  • Spring4shell CVE-2022-22965として定義される新しい脆弱性が、JDK9+ 上の人気のある Java フレームワーク Spring Coreに対して最近報告されました。
  • その他の報告された脆弱性 -
    • CVE-2022-22963 (Spring Cloud) - Spring Cloud Function バージョン 3.1.6、3.2.2、およびサポートされていない古いバージョンでは、ルーティング機能を使用するときに、ユーザーがルーティング式として特別に細工された SpEL を提供する可能性があります。ローカル リソースへのアクセスが発生する可能性があります
      • ThingWorx とそのプラットフォーム コンポーネントは、この問題の影響を受けません
    • CVE-2022-22950 (Spring Expression) - Spring Framework バージョン 5.3.0 ~ 5.3.16 およびサポートされていない古いバージョンでは、サービス拒否状態を引き起こす可能性のある特別に細工された SpEL 式をユーザーが提供する可能性があります。適切に緩和されない場合、Spring Expression はサービス拒否につながる可能性があります
      • ThingWorx とそのプラットフォーム コンポーネントは、この問題の影響を受けません
  • これらの脆弱性に対処しないと、 リモート コード実行(RCE) が可能になり、攻撃者がマシン上で任意のコードを実行し、ホスト全体を危険にさらす可能性があります。
  • レポートの特定の脆弱なシナリオの要件は次のとおりです。
    • JDK9以上
    • サーブレット コンテナとしての Apache Tomcat
    • 従来の WAR としてパッケージ化 (Spring Boot 実行可能 jar とは対照的に)
    • spring-webmvc または spring-webflux の依存関係
    • Spring Framework バージョン 5.3.0 から 5.3.17、5.2.0 から 5.2.19、およびそれ以前のバージョン
  • 注: 脆弱性の性質はより一般的なものであり、まだ報告されていない他の方法で悪用される可能性があります。
最新バージョンはこちらを参照ください CS366559