Spring Framework RCE, Early Announcement

Updates [04-13] "Data Binding Rules Vulnerability CVE-2022-22968" follow-up blog post published, related to the "disallowedFields" from the Suggested Workarounds [04-08] Snyk announces an additional attack vector for Glassfish and Payara. See also related Payara, upcoming release announcement [04-04] Updated Am I Impacted with improved description for deployment requirements [04-01] Updated Am I I

[drumsco]

"この脆弱性は、JDK9で実行されているSpringMVCおよびSpringWebFluxアプリケーションに影響を与えます。 特定のエクスプロイトでは、アプリケーションをWARデプロイメントとしてTomcatで実行する必要があります。"

[rgfx]

「Spring Boot と Spring Framework の更新出たから当てろよ、もしくはWebDataBinder::setAllowedFields()なりServletRequestDataBinderでブラックリスト作ってしのげ」という。

[kubecorn]

Spring Boot でも要件あって外部のTomcatにデプロイして運用してる人は影響受ける可能性大いにあるので気にしておきたい。

[Shisama]

公式からアナウンス出てた。JDK 9+かつSpring MVCとSpring WebFluxのアプリケーションでTomcatで動いているサーバーにwarをデプロイする場合に影響があるとのこと。Spring Bootは問題なさそう。

[jdg]

WAR でデプロイした場合に問題があって、Spring Boot なら今のところ大丈夫そうだけど別の攻撃方法が見つかる可能性はあるらしいから軽視できん感じか。

[wyukawa]

Spring Boot民は影響無いっぽいが、今後さらに別の脆弱性が出るかも知れないので、そのうちでる新バージョンに上げた方がいいって話かなあ。Java8だと影響出ないのがなんとも