Spring Frameworkの脆弱性 CVE-2022-22965(Spring4shell)についてまとめてみた - piyolog
2022年3月31日、Spring Frameworkに致命的な脆弱性が確認され、修正版が公開されました。ここでは関連する情報をまとめます。 1.何が起きたの? JDK9以上で実行されるSpringMVC、SpringWebFluxでリモートコード実行が可能な脆弱性(CVE-2022-22965)が確認された。脆弱性の通称にSpring4shellまたはSpringShellが用いられている。 Spring FrameworkはJavaで採用される主流なフレームワークの1つのため、Javaで実行されるWebアプリケーションで利用している可能性がある。 2022年3月31日時点で脆弱性のExploitコードが出回っており、関連するインターネット上の活動が既に報告されている。 2.脆弱性を悪用されると何が起きるの? 脆弱性を悪用された場合、リモートから任意コード実行が行われることで、機密情報の
前置き(私見含む) Recoil が面白い。 React でそれなりの規模のアプリケーションを作ったことのある方なら、状態管理の辛さをよく知っていると思う コンポーネントを跨いだ変数をひとつ作ろうと思っただけなのに「まずは Flux アーキテクチャのコンセプトとアンチパターンから学ぶ必要があります。大量の props バケツリレーから逃れるためには〜」とか言われても 現実的で複雑なアプリケーションの状態、つまり「非同期処理」や「状態同士の依存関係」……などを作っていくのは大変 そんな中 Facebook が新たな状態管理ライブラリをリリースした、それが Recoil これは Redux とも ReactN とも全く異なるアプローチのライブラリで、しかも圧倒的に分かりやすい teramotodaiki.icon 現在は experimental(実験段階) なので Redux のコードをごっ
JavaBeansって言葉に煩わされない - 日々常々
JavaBeansって言葉を目にして、ふと検索してみたらあまりに酷かったので書いておこうかと。対象は「JavaBeansってなんだろ?」と思ってしまった初学者さん。でもそんな人って私のブログ読むんだろうか…… 今後は「このエントリ参照」にするつもりで書いてみる。 文字列連結と+演算子について整理しておく みたいな感じ。 ShortAnswer JavaBeansを学ぶ必要はありません。JavaBeansと説明されているものの多くは、JavaBeansの名前を借りた独自の物体です。 長い説明 「あまりに酷い」と「要らない」だけだと流石にアレなので、仕様を斜め読みしながら説明していきます。あ、EJBには触れません。まぜるなきけん。 仕様について JavaBeans仕様としてげったーせったーがーとか、こんすとらくたがーだとか、しりあらいざぶるがーだとか。よく見聞きするのだけど、仕様って読んだんだ
はじめに こむろです。 Spring4Shell についてです。どうせお前ら調査してたんだろ?と思ったあなた、大正解です。 結論 非常に広範な影響がありましたが、現時点で、Spring Framework 本体への修正パッチがすでに適用されています。そのためこれに準じたアップデートを実施することで脆弱性を回避できます。 spring-boot-2-6-6 spring-boot-2-5-12 spring-framework-5.3.18 Tomcat 9.0.62 またこれらのアップデートができない場合、以下の対応を取ることもできます。 不要なパラメータのマッピングを行わないようにコードを追加する (Binding のブラックリストへ class.* 系を追加) Java8 へ一旦ダウングレードする Tomcat 9.0.62 へ Update することで設定値自体の書き換えをできないよ
あらためてデコレーターを学ぶぞ
はじめに NestJS入門してみようとしたら、アットマークから始まる記述を知らなかったので調べたことを簡単にまとめた記事です(デコレーターのことよくわかってなかった) デコレーターの仕様は、過去にいろいろと変わって現在に至っているようでしたが、ようやく最近 ECMAScript では Stage 3 になり、TypeScript では今も実験的なサポート experimentalDecorators を使えますが、バージョン 4.8 で TC39 の Decorators を実装することが検討されているようです! この記事は、TypeScriptのドキュメントのサンプルコードを動かしてみたり、あらためてNestJSのコード読んだりしてみた感想を書いてみました。 最近のデコレーターを追えてない、NestJSを動かしてみようとしたらデコレーターってなんぞや、となったかたの参考になれば幸いです。
Java Naming and Directory Interface (JNDI) is a Java API that allows clients to discover and look up data and objects via a name. These objects can be stored in different naming or directory services, such as Remote Method Invocation (RMI), Common Object Request Broker Architecture (CORBA), Lightweight Directory Access Protocol (LDAP), or Domain Name Service (DNS). In other words, JNDI is a simple
decoratorを使ってログ出力コードの削減し可読性を上げた話 - NTT Communications Engineers' Blog
この記事では TypeScript ver4.x にて実験的な機能である decorator を使い、ログ出力コードを削減・コードの可読性を上げた経験を紹介します。 はじめに 背景 decorator とは decorator を使ったログ出力方法の検討 decorator を使ったログ出力の実装 実装時にハマったこと等 関数定義方法の変更 非同期・同期両方に対応 クラス名の取得 ログメッセージの統一 その他考慮した点 ライブラリの利用 実践結果 良かった点 悪かった点(苦労した点) まとめ 参考文献 はじめに こんにちは、NeWork 開発チームの加藤です。普段はオンラインワークスペースサービス NeWork の開発エンジニアをしています。 今回は TypeScript ver4.x にて実験的な機能である decorator を使った事例紹介をします。我々開発チームではログ出力のための
はじめに デコレータ はじめに TypeScriptとES6のクラスの導入により、クラスやクラスメンバの注釈付けや修正をサポートするための追加機能が必要なシナリオとして存在するようになりました。 デコレータは、クラス宣言とメンバの注釈(アノテーション)とメタプログラミング構文の両方を追加する方法を提供します。 デコレータはJavaScriptのステージ1の提案であり、TypeScriptの実験的な機能として利用できます。 注意: デコレータは実験的な機能であり、将来のリリースで変更される可能性があります。 デコレータの実験的なサポートを有効にするには、 experimentalDecoratorsのコンパイルオプションをコマンドライン、またはtsconfig.jsonのいずれかで有効にする必要があります。 { "compilerOptions": { "target": "ES5", "e
SpringShell RCE vulnerability: Guidance for protecting against and detecting CVE-2022-22965 | Microsoft Security Blog
April 11, 2022 update – Azure Web Application Firewall (WAF) customers with Regional WAF with Azure Application Gateway now has enhanced protection for critical Spring vulnerabilities – CVE-2022-22963, CVE-2022-22965, and CVE-2022-22947. See Detect and protect with Azure Web Application Firewall (Azure WAF) section for details. On March 31, 2022, vulnerabilities in the Spring Framework for Java we
JS Decorators Explained: 10 Years Journey to the Real Implementation | Binary Studio
In 2015, ECMAScript 6 was introduced – a significant release of the JavaScript language. This release introduced many new features, such as const/let, arrow functions, classes, etc. Most of these features were aimed at eliminating JavaScript's quirks. For this reason, all these features were labeled as "Harmony." Some sources say that the entire ECMAScript 6 is called "ECMAScript Harmony." In addi
[2022-04-19 JST Windows/Linuxによる保護セクションを更新] CVE-2022-22965: Spring Coreにリモートコード実行脆弱性(SpringShell)、すでに実際のエクスプロイトも
目次 影響を受けるソフトウェアとバージョン Spring Frameworkの背景 CVE-2022-22965の根本原因分析 クラスローダー悪用の背景 侵害されたサーバー上でのリモートサーバーへのリバースシェル接続確立 SpringShellのエクスプロイト 実際に観測された事例 結論 追加リソース IoC 影響を受けるソフトウェアとバージョン 既存のエクスプロイトの概念実証(PoC)は、以下の条件で動作します。 JDK 9以上 ServletコンテナとしてのApache Tomcat (Spring Bootの実行可能jarとは異なる)従来のWARとしてのパッケージ化 spring-webmvc または spring-webflux との依存関係 Spring Framework バージョン 5.3.0 から 5.3.17, 5.2.0 から 5.2.19, およびそれ以前のバージョン
![[2022-04-19 JST Windows/Linuxによる保護セクションを更新] CVE-2022-22965: Spring Coreにリモートコード実行脆弱性(SpringShell)、すでに実際のエクスプロイトも](https://cdn-ak-scissors.b.st-hatena.com/image/square/b73c5441d4227330105b177aff69ed335eea183a/height=288;version=1;width=512/https%3A%2F%2Funit42.paloaltonetworks.jp%2Fwp-content%2Fuploads%2F2022%2F03%2FUnit42-blog-2by1-characters-r4d1-2020_Vulnerability-blue.png)
Decoratorの概要と動作確認をします。また、利用例として、メソッドの前後に処理を追加する方法を確認します。 Decoratorとは 例えば、メソッドにDecoratorを割り当てて、そのメソッドが実行される前後に処理を付け加える(装飾する)ことができ、ログの出力などで活用されます。 Vue.jsでTypeScriptをクラスベースで利用する際、vue-class-component と vue-property-decorator を利用しますが、こちらでもDecoratorが活用されています。 Decoratorは、クラスメソッドアクセサプロパティパラメータ に割り当てることが可能です。 tsconfig.jsonを修正 Decoratorを利用する場合、tsconfig.json の下記オプションを true にしておく必要があります。 { "compilerOptions":
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Recoil が面白いので Redux との違いを説明してみる - study-react
cve-2022-22965 Spring4Shell の影響調査 | DevelopersIO
Exploiting JNDI Injections in Java | Veracode
デコレータ | TypeScript 日本語ハンドブック | js STUDIO
TypeScript | Decoratorの動作確認 - わくわくBank