Spring Frameworkの脆弱性 CVE-2022-22965(Spring4shell)についてまとめてみた - piyolog
2022年3月31日、Spring Frameworkに致命的な脆弱性が確認され、修正版が公開されました。ここでは関連する情報をまとめます。 1.何が起きたの? JDK9以上で実行されるSpringMVC、SpringWebFluxでリモートコード実行が可能な脆弱性(CVE-2022-22965)が確認された。脆弱性の通称にSpring4shellまたはSpringShellが用いられている。 Spring FrameworkはJavaで採用される主流なフレームワークの1つのため、Javaで実行されるWebアプリケーションで利用している可能性がある。 2022年3月31日時点で脆弱性のExploitコードが出回っており、関連するインターネット上の活動が既に報告されている。 2.脆弱性を悪用されると何が起きるの? 脆弱性を悪用された場合、リモートから任意コード実行が行われることで、機密情報の
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog Yahoo! JAPANアプリの通知系バックエンドシステムを主に担当しているエンジニアの福盛です。 Yahoo! JAPANアプリの通知系バックエンドシステムについては、以下の記事でも紹介しています。もし興味があればこちらも参照ください。 チームのスキル向上にもつながるシステム刷新 〜 Yahoo! JAPANアプリ「お知らせ」機能の開発事例 Scalaで使うMessage Queue 〜 Yahoo! JAPANアプリのお知らせ送信でのApache Pulsarの活用 今回は開発とトラブルシュートの効率を大幅に向上する、アプリケーションログの埋め込みと活用方法について紹介いたします。 本記事では「JavaおよびScalaで構築さ
Updates [04-13] "Data Binding Rules Vulnerability CVE-2022-22968" follow-up blog post published, related to the "disallowedFields" from the Suggested Workarounds [04-08] Snyk announces an additional attack vector for Glassfish and Payara. See also related Payara, upcoming release announcement [04-04] Updated Am I Impacted with improved description for deployment requirements [04-01] Updated Am I I
はじめに こむろです。 Spring4Shell についてです。どうせお前ら調査してたんだろ?と思ったあなた、大正解です。 結論 非常に広範な影響がありましたが、現時点で、Spring Framework 本体への修正パッチがすでに適用されています。そのためこれに準じたアップデートを実施することで脆弱性を回避できます。 spring-boot-2-6-6 spring-boot-2-5-12 spring-framework-5.3.18 Tomcat 9.0.62 またこれらのアップデートができない場合、以下の対応を取ることもできます。 不要なパラメータのマッピングを行わないようにコードを追加する (Binding のブラックリストへ class.* 系を追加) Java8 へ一旦ダウングレードする Tomcat 9.0.62 へ Update することで設定値自体の書き換えをできないよ
Apache Log4j2 Remote Code Execution (RCE) Vulnerability - CVE-2021-44228 - ESA-2021-31
Subject: Apache Log4j2 Vulnerability - CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-44832 - ESA-2021-31 Note - We will update this announcement with new details as they emerge from our analysis. Please check back periodically. Update Log Dec 16, 2021 - 04:20 UTC - Update Summary: ECK 1.9 released which automatically adds the JVM option to impacted Elasticsearch clusters managed by EC
注意! こちらの記事は自分の解釈を多く含みます。 十分に注意し、念のため検証してから情報を利用してください! この記事の内容と対象 この記事では、以下の内容に触れます。攻撃原理をわかった範囲でまとめるので、なにかのお役に立てば幸いです。 Spring4Shellの脆弱性の全体像 なぜJDK9.0以上のみ限定なの? なぜtomcatで影響は受けているの?ほかは? 脆弱性の概要 SpringShell RCE vulnerability: Guidance for protecting against and detecting CVE-2022-22965 によると 以下の条件を満たしているときに 任意コード実行 につながると書かれています。 Running JDK 9.0 or later Spring Framework versions 5.3.0 to 5.3.17, 5.2.0 t
CircleCI の Android Docker Image でJDKが11にアップデートされた件のまとめ - nashcft's blog
私は今回の件より前から CircleCI を使っておらず、最近は主に GitHub Actions でCIを構築していてこの件で被害は被っていないのだけど、軽く調べてみたところ Android project を JDK 9+ でビルドすることに強い興味をを持っている自分には結構興味深いことがわかったのでもう少し詳細に調べてまとめることにした。 何があったの 日本時間で 2020-08-18 のお話 CircleCI の Android Docker Image が更新され、JDK 8 ベースから JDK 11 ベースになった*1 これらの image を使ってCIを行っている Android project でビルドが失敗するものが発生した Twitter が少し賑やかになった 原因1: なぜビルドが失敗するようになったの この blog を書き始めてから調べて知った付け焼き刃な部分もあ
Spring4Shell Details and Exploit Analysis - Cyber Kendra
Please wait a moment. Click the button below if the link was created successfully. Update as of 31st March: Spring has Confirmed the RCE in Spring Framework. The team has just published the statement along with the mitigation guides for the issue. Now, this vulnerability can be tracked as CVE-2022-22965. Initially, it was started on 30th March, the first notification of the vulnerability was hinte
SpringShell: Spring Core RCE 0-day Vulnerability - Cyber Kendra
Please wait a moment. Click the button below if the link was created successfully. Update as of 31st March: Spring has Confirmed the RCE in Spring Framework. The team has just published the statement along with the mitigation guides for the issue. Now, this vulnerability can be tracked as CVE-2022-22965. Update:- We have some information about the Spring4Shell vulnerability and have shared the det
Java を使った開発を行う上で Java SE 、 JDK 、 JRE 、 JVM など似たような言葉がいくつか出てきて最初は混乱することもあると思います。ここではそれぞれの語句の違いとどのような時に使われるものなのかを解説します。またあわせて Java の有償化に関する解説も少し行います。 Java SEとは Java SE とは Java Platform, Standard Edition の略で、 Java で使用される API をまとめたものです。 API とは Application Programming Interface の略で、 この場合は Java の機能やデータなどを利用するための呼び出し方を定義したものと考えてください。 Java で提供されている API は非常に多いのですが、 Java SE はその中でも基本となる API をまとめたものとなり、 例えば j
The Apache Groovyチームは2月10日、Javaプラットフォーム向けの動的型付け言語「Apache Groovy 3.0.0」を公開した。新たなメジャーリリースとなり、多くの新機能が導入されている。 Apache GroovyはJava仮想マシン上などで動作するバイナリを出力できるオブジェクト指向プログラミング言語。Javaとの親和性が高く、かつさまざまな言語の機能を取り入れている点が特徴。多機能ながら学習しやすく、Javaとの統合も用意であり、ドメイン固有言語としての利用にも適しているという。 Apache Groovy 3.0は2012年に公開されたバージョン2以来のメジャーリリース。バージョン2.5から合計で500以上の新機能、機能強化、バグ修正が加わったという。 3.0の最大の特徴は、新しいパーサー「Parrot」(開発コード)の導入。デフォルトで有効となっているが、
(53歳と書いていますが、今年の3月に54歳になられたそうです) この方は 1966年生まれで今年54歳になられた、シンガポールの写真家。 名前は チュアンドン・タン【Chuando Tan】 さんです。 ハンサム過ぎ出し、髪の毛ふさふさだし、マッチョが過ぎる。。。。。。。 本当に二次元(漫画)の世界からやってきたようなルックス! バッキバキ過ぎかよ! ちなみに日本人で同じ1966年生まれといえば、 我らがモテ伝道師「今田耕司」さんですね。 恐るべし、チュアンドン・タン。 では、ここでチュアンドン・タンさんの基本情報を確認しておきましょう。
2022年4月観測レポートサマリ DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントカレンダー ソフトウェアリリース情報 2022年4月観測レポートサマリ 本レポートでは、2022年4月中に発生した観測情報と事案についてまとめています。 当月は、DDoS攻撃の総攻撃検出件数が前々月の水準に戻りました。最大規模を観測した攻撃は前月と同様に、主にNTPプロトコルを用いたUDP Amplificationでした。先月と比較して転送量に大きな変化はありませんでしたが、パケット数は約半分に減少しています。また、最長時間を観測した攻撃も主にNTPプロトコルを用いたUDP Amplificationによるものでした。 IPS/IDSにおいて検出したインターネットからの攻撃について、当月はSQLインジェクションが最も多
CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+ Description A Spring MVC or Spring WebFlux application running on JDK 9+ may be vulnerable to remote code execution (RCE) via data binding. The specific exploit requires the application to run on Tomcat as a WAR deployment. If the application is deployed as a Spring Boot executable jar, i.e. the default, it is not vulnerable to the ex
(1) 概要 2022年3月31日(現地時間)、VMwareはSpring Frameworkの任意のコード実行の脆弱性(CVE-2022-22965)に関する情報を公開しました。Spring Frameworkは、JavaのWebアプリ開発を行うためのフレームワークの1つです。本脆弱性が悪用された場合、遠隔の第三者が任意のコードを実行する可能性があります。 VMwareは、本脆弱性に関する報告を受け取った後、調査および修正対応中に脆弱性の詳細が公開されたと明らかにしています。JPCERT/CCは、本脆弱性を実証するとみられるコードや詳細を解説する記事がすでに複数公開されている状況を確認していますが、現時点では具体的な被害事例や報告は確認していません。 本脆弱性の影響を受ける環境には条件があり、今後も追加情報が公開される可能性があります。引き続き、VMwareなどからの情報に注視いただきな
原文はこちら。 The original article was written by Stefan Johansson (HotSpot GC team at Oracle). https://kstefanj.github.io/2020/04/16/g1-ootb-performance.html 数週間前、JDK 8 と JDK 14 を比較したベンチマーク結果が Phoronixから発表されました。その中で発表されたSPECjbb® 2015の結果が、自身で実施したテストの結果とは比較にならないので、調査が必要でした。調査結果を掘り下げていく前に、まずはJDK 8とJDK 14の大きな違いの背景から話を始めます。 OpenJDK 14 Has Some Performance Improvements But OpenJDK 8 Still Strong https://www.
Red Hat のソリューションアーキテクトの瀬戸です。 概要 前回はjpackageの基本的な使い方を説明しました。 今回はもうちょっと踏み込んだ使い方を説明します。 前回の記事を読んでいない方は、先にそちらをお読みください。 rheb.hatenablog.com よく使うパラメーターをまとめる @[filename] を使用することでそのファイルの内容をパラメーターとして解釈させることができます。よく使用するパラメーターをファイルにすることでオプションを毎回入力しなくて済むようになります。 必要なパラメーターを追加で付けることもできます。同じパラメーターがファイルと引数の両方にあった場合は引数が優先されるようです。 > jpackage @option.txt --app-version 2.1 アプリケーションのアイコンとベンダーを指定する Windowsインストーラーにはいくつか
SpringShell RCE vulnerability: Guidance for protecting against and detecting CVE-2022-22965 | Microsoft Security Blog
April 11, 2022 update – Azure Web Application Firewall (WAF) customers with Regional WAF with Azure Application Gateway now has enhanced protection for critical Spring vulnerabilities – CVE-2022-22963, CVE-2022-22965, and CVE-2022-22947. See Detect and protect with Azure Web Application Firewall (Azure WAF) section for details. On March 31, 2022, vulnerabilities in the Spring Framework for Java we
原文(投稿日:2020/10/05)へのリンク Shenandoahは、Javaアプリケーションを変更することなく迅速に動作させられる低レイテンシのガベージコレクタだ。この機能はJDK 12で最初にアップストリームに導入され、その後、長期サポートのJDK 11にバックポートされた。このバージョンは調査対象の Java ユーザーの 約20~25% が使用している。この変更により、ガベージコレクタをアップストリームの OpenJDK11 リポジトリにバックポートすることで、Azul、Adoptium、Libericaなどの Java ベンダーがユーザーに機能を提供できるようになった。 アップストリームのリポジトリに Shenandoah を追加する検討は、すでに機能セットをロックしている Java のバージョンに主要機能を導入するという課題を提起した。単純なバグ修正以上に、この大きな変更はユー
これは、なにをしたくて書いたもの? こちらのエントリを書いていて、「JavaでAESを使う時のコードを全然覚えてないな」と思いまして。 MessageDigestに"SHA"とか、Cipherに"AES"とだけ指定した場合、どうなるの? - CLOVER🍀 メモしておこうかな、と。 環境 今回の環境は、こちらです。 $ java --version openjdk 11.0.9.1 2020-11-04 OpenJDK Runtime Environment (build 11.0.9.1+1-Ubuntu-0ubuntu1.20.04) OpenJDK 64-Bit Server VM (build 11.0.9.1+1-Ubuntu-0ubuntu1.20.04, mixed mode, sharing) $ mvn --version Apache Maven 3.6.3 (cec
今回は以下のニュースであった脆弱性の検証を行います! ・「Spring Core」にゼロデイ脆弱性「Spring4Shell」の指摘 ・「Spring4Shell」を修正したアップデートが公開 – 詳細明らかに 検証環境の準備はサクッとやって、検証にしたいと思います。 なお、本記事は悪用を促すものではないことを予めご了承ください。 検証環境の準備 今回は「Docker」を使用してサクッと準備します。 GithubでDockerファイルとか諸々準備してくれている方がいましたので、こちらを使用ます。 事前にVMにDockerを動かすための準備をしましょう。以下を参考にしてください。 ・Dockerを使ってCVE-2021-41773を検証する 環境ができたら、以下のコマンドでファイルとか諸々を持ってきます。 # git clone https://github.com/reznok/Sprin
概要 自分が初めて使ったJavaはたぶんJDK(Java Development Kit)1.3、バージョンを意識し始めたのはJDK1.4からなので、昔の事は知らないんだけど。 JDK1.2でJDK1.1より大幅に改善されたらしく、宣伝(マーケティング)の都合でJava2と名付けられ、Java2 Standard Edition(J2SE)と表記されていた。 JDK1.5からは「2」が取れてJava 5.0という名称になったが、SEはJ2SE 5.0だったと思う。 JDK1.6からは「.0」が取れてJavaSE6という名称になった。 JDK1.7はJavaSE7あるいはJava7と呼ばれ、JDK1.8はJava8と言われることが多い。 この間、javaコマンドで表示されるバージョン等は1.8.0という感じだったので、自分はほぼ一貫して「JDK1.n」と表記してきた。 しかしJava9でバー
要約 JDK 8のバージョン番号の読み方 インストーラの表記 インストーラを入手する時は、「jdk8u312-b07」というような表記のうち、uの後ろの数字が一番大きなものが最新版 -bの後ろの数字はjdk自体のビルド番号であり、jdk自体の開発者向け情報...利用者側は無視してよい java -versionの出力 java -versionでインストール済みのバージョンを確認すると、1行目に「1.8.0_312」とインストーラと異なる表記方法で出力される アンダースコア以降の数字がインストーラのuに続く数字と一致する 1.8.0は固定で、今後JDK 8がアップデートされても変わることは無い(uの後ろの数字だけがインクリメントされる) JDK 10以降のバージョン番号の読み方 インストーラの表記 インストーラを入手する時は、「jdk-17.0.1+12」というような表記のうち、+の前の数
News
Logback components written for logback 1.2 should work without change in version 1.3. However, Joran, logback's configuration system, has been rewritten to use an internal representation model which can be processed separately. Thus, code depending on Joran needs to be adapted to changes in Joran (logback's internal configuration mechanism). As a result of enhancements to Joran, logback configurat
Apache Spark 3.0.0 is the first release of the 3.x line. The vote passed on the 10th of June, 2020. This release is based on git tag v3.0.0 which includes all commits up to June 10. Apache Spark 3.0 builds on many of the innovations from Spark 2.x, bringing new ideas as well as continuing long-term projects that have been in development. With the help of tremendous contributions from the open-sour
JavaFXアプリケーションのJDK11対応(Windowsインストーラー作成編) - torutkのブログ
はじめに JDK 10までは、JavaFXアプリケーションを配布する際に、ネイティブ・インストーラー形式にするjavapackager機能を使ってOS固有のインストーラーを作成することができました。Windowsネイティブなインストーラーを作成する際には、外部ツールとしてWiX Toolsetを使ってMSI形式のインストーラーを作成するか、同じく外部ツールとしてInnoSetupを使ってEXE形式のインストーラーを作成することができました。 しかし、JDK 11ではJavaFXとともにjavapackager機能が分離したため、JDK11上でのJavaFXアプリケーションは独自にインストーラーを作成することになります。 今回は、次のJavaFXアプリケーションをWindows OS上へインストールするMSI形式のインストーラーを作成していきます。gitのブランチは、jdk11 となります。
「Java有償化」って、どういうこと?~Javaアップデートに関する疑問にこたえます!~ : 富士通ラーニングメディア
みなさん、こんにちは。富士通ラーニングメディアでJavaの講師や研修企画・開発を担当している並木です。 2019年1月にOracle JDK 8の商用利用向けの公式アップデートが終了したことを受け、Javaの開発に携わる方々は、Javaのアップデート対応を検討されているところかと思います。 しかし、最近の Java に関する情報を調べると、「Java有償化」というキーワードが目に入り、戸惑っている方も多いのではないでしょうか。 そんな皆さんの疑問にこたえるべく、先月弊社では、日本オラクル株式会社 岡田大輔様をお招きして「Javaアップデート解説セミナー」を開催しました。 (参考)セミナープログラム 本セミナーには多くのJava開発者・運用担当者の方にご参加いただき、「Javaアップデートに関する疑問が解消できた」と好評をいただきました。本記事では、セミナーでご紹介したJavaアップデートの
Javaをインストールしてみよう! Javaを習得するには、何はなくともJavaの開発環境をインストールしなければ始まりません。Javaの開発環境は、Java Development Kit(JDK)と呼ばれています。 Javaのアプリケーションを実行する方が必要とする、Javaの実行環境(Java Runtime Environment、JRE、Java Virtual Machine、Java VM、JVMなどと呼ばれることがあります)とJDKは別のモノです。 したがって、Javaのアプリケーションが実行できるのに、コンパイルができない!というケースも十分に起こりえます。注意が必要です。 JDKのインストール それでは実際にWindows 10(64bit)に、JDK 9をインストールしてみましょう。 (1)以下の公式サイトにアクセスし、「Java DOWNLOAD」をクリックします。
[2022-04-19 JST Windows/Linuxによる保護セクションを更新] CVE-2022-22965: Spring Coreにリモートコード実行脆弱性(SpringShell)、すでに実際のエクスプロイトも
目次 影響を受けるソフトウェアとバージョン Spring Frameworkの背景 CVE-2022-22965の根本原因分析 クラスローダー悪用の背景 侵害されたサーバー上でのリモートサーバーへのリバースシェル接続確立 SpringShellのエクスプロイト 実際に観測された事例 結論 追加リソース IoC 影響を受けるソフトウェアとバージョン 既存のエクスプロイトの概念実証(PoC)は、以下の条件で動作します。 JDK 9以上 ServletコンテナとしてのApache Tomcat (Spring Bootの実行可能jarとは異なる)従来のWARとしてのパッケージ化 spring-webmvc または spring-webflux との依存関係 Spring Framework バージョン 5.3.0 から 5.3.17, 5.2.0 から 5.2.19, およびそれ以前のバージョン
![[2022-04-19 JST Windows/Linuxによる保護セクションを更新] CVE-2022-22965: Spring Coreにリモートコード実行脆弱性(SpringShell)、すでに実際のエクスプロイトも](https://cdn-ak-scissors.b.st-hatena.com/image/square/bcebaec7d06409cf03bdb2d18c851c945592a82c/height=288;version=1;width=512/https%3A%2F%2Funit42.paloaltonetworks.com%2Fwp-content%2Fuploads%2F2024%2F06%2F01_Vulnerabilities_1920x900.jpg)
はじめに JFRにおける「イベント」 イベントタイプとサンプリング データフォーマット 循環バッファとデータフロー リポジトリとJFRファイル名 JFRの開始とJFRファイルダンプ まとめ 参考 はじめに JDK Flight Recorder(JFR)はJavaで利用できる常時本番適用可能な超低オーバーヘッドのプロファイラです。性能分析とか障害対応の強い味方ですね! 今まで商用ライセンスのみ使用可能だったのですが、JDK11よりOpenJDKに取り込まれ自由に使えるようになりました。オープンになったので色々自分でも使いたいですし、色んな人にも使って欲しいなと思っています。 ただ、Oracleの公式ドキュメントが余りにもサラリとし過ぎていて良くわかんないので、いくつかのOracleや有志の発表資料や自分の知識を元にアーキテクチャ概要を解説して見ました。 この辺をしっかり分かりやすく書いた公
With the changes to Oracle JDK distribution and support, there has been considerable uncertainty over the rights to use Oracle JDK vs. Oracle OpenJDK builds vs. OpenJDK builds from other providers. There are various ways to get free updates (including security) and (new and existing) paid support models available from multiple vendors to consider. This document has a Shorter Version and a much Lon
オラクル、Java 17をリリース
最新のJava長期サポート・リリースでは、数千ものアップデートや言語、プラットフォームのさらなる改善と、開発者の生産性の向上を実現 「Oracle JDK 17」は、セキュリティ、パフォーマンス、およびバグ修正のアップデートを2029年9月まで提供 テキサス州オースティン—2021年9月17日 (本資料は米国2021年9月14日にオラクル・コーポレーションより発表されたプレスリリースの抄訳です) オラクルは本日、世界でトップクラスを誇るプログラミング言語および開発プラットフォームの最新バージョンであるJava 17の提供を発表しました。Java 17は、パフォーマンス、安定性、およびセキュリティに関する数千ものアップデートに加え、14のJEP(JDK Enhancement Proposals)を提供し、Java言語とプラットフォームをさらに改善することで、開発者の生産性向上を実現します。
CVE-2022-22965: Spring Core Remote Code Execution Vulnerability Exploited In the Wild (SpringShell) (Updated)
This post is also available in: 日本語 (Japanese) Executive Summary Recently, two vulnerabilities were announced within the Spring Framework, an open-source framework for building enterprise Java applications. On March 29, 2022, the Spring Cloud Expression Resource Access Vulnerability tracked in CVE-2022-22963 was patched with the release of Spring Cloud Function 3.1.7 and 3.2.3. Two days later on M
米VMwareは、同社が提供しているJavaアプリケーションフレームワーク「Spring Framework」に、リモートコード実行が可能になる脆弱性「CVE-2022-22965」が発見されたことを報告している。なお、脅威度は「Critical」であり、Spring Frameworkのバージョン5.3.0~5.3.17、および5.2.0~5.2.19が影響を受ける。 CVE-2022-22965は、JDK 9以降で実行されているSpring MVCまたはSpring WebFluxアプリケーションにおける、データバインディングを介したリモートコード実行(RCE)に関する脆弱性。インターネット上では「Spring4Shell」と呼ばれ、3月29日(現地時間)頃から議論されていたが、今回脆弱性の識別番号(CVE)が割り当てられた。 なお、RCEは今回報告されているもののほかに、Spring
Spring Core on JDK9+ is vulnerable to remote code execution | Praetorian
Update: March 31, 2022 A patch has officially been released. https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement https://tanzu.vmware.com/security/cve-2022-22965 Overview Spring Core on JDK9+ is vulnerable to remote code execution due to a bypass for CVE-2010-1622. At the time of writing, this vulnerability is unpatched in Spring Framework and there is a public proof-of-conce
JDK 17 has been out for a few months and it’s not just packed with new language features. The performance boost compared to older JDK versions is also really significant. It becomes especially clear when compared to the previous LTS releases, JDK 8 and JDK 11. Much of the improved performance comes from new features and optimizations in the JVM and in this post the focus will be on the improvement
はじめに 前回の Java の static な話 のこともあり、もくもくと Java タイムを続けてしてみようと思います. ゴール ジェネリックスなのか、ジェネリクスなのかは、さておき. Java におけるジェネリクスに関して、簡単な例とか、遊びとともに幅広く触れてみる. ジェネリクス(総称型)と型安全 jdk 1.5 から導入されました. これを書いているちょうどのタイミングで「jdk 9.0.4のアップデートしてね」と Javaからお声かけがあったり、java10 が出るとかの話も聞いてるので、jdk 1.5... となりましたが. さらにそれ以前だと、
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
開発とトラブルシュートに役立つ!クラウド時代のアプリケーションログ埋め込みと活用法
Spring Framework RCE, Early Announcement
cve-2022-22965 Spring4Shell の影響調査 | DevelopersIO
Spring4Shell の任意コード実行でわかったことをまとめる!
Java SEとJDK、JRE、JVMの違いに関する解説
「Apache Groovy 3.0」リリース、多数の新機能を導入 | OSDN Magazine
奇跡の54歳チュアンド・タンのアンチエイジング【筋肉】
wizSafe Security Signal 2022年4月 観測レポート
CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+
Spring Frameworkの任意のコード実行の脆弱性(CVE-2022-22965)について
Improving G1 out-of-the-box performance
jpackageの踏み入った使い方 - 赤帽エンジニアブログ
JDK 11 の Shenandoah - Red Hat チームとのインタビュー
JavaでAES(ECB/CBC)を使う - CLOVER🍀
Spring4Shell(CVE-2022-22965)を検証する | 猫とセキュリティ
Javaバージョンメモ(Hishidama's Java version Memo)
Javaのバージョン番号の形式を理解する - Magnolia Tech
Spark Release 3.0.0 | Apache Spark
Javaインストールで初心者がつまずかないための完全攻略ガイド | 侍エンジニアブログ
JDK Flight Recorderのアーキテクチャ概要 - ブログなんだよもん
Java Is Still Free 3.0.0 (Ocrt 2021)
「Spring Framework」の深刻な脆弱性、通称「Spring4Shell」に対するアップデートが公開
GC progress from JDK 8 to JDK 17
Javaのジェネリクスな話 - Qiita