WhiteSource 是否容易受到“Spring4Shell”漏洞 CVE-2022-22965 的影响?
在 2022 年 3 月 31 日,一个新的、严重的关键 Spring 框架漏洞被披露,此漏洞发布编号为 CVE-2022-22965,同时 CVSS 评分为 9.8。
根据我们的应用程序安全计划,WhiteSource 安全专家和工程团队识别并修复了所有出现的此漏洞。作为预防措施的另一个步骤,WhiteSource 在我们的云环境中使用 Web 应用程序防火墙。
请注意,我们的内部影响分析得出的结论是,此 CVE 对 WhiteSource 应用程序没有重大影响。我们还想重申 WhiteSource 应用程序的 CVE 详细信息是最新的,并鼓励我们的客户使用 WhiteSource 扫描他们的代码,以辨别他们的代码是否受到此漏洞的影响。
什么是 CVE-2022-22965?
根据这里 Spring 的官方公告,目前对 CVE-2022-22965 的描述如下:
在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行 (RCE) 的攻击。具体的利用需要应用程序作为 WAR 部署在 Tomcat 上运行。如果应用程序部署为 Spring Boot 可执行 jar,即默认值,则它不易受到攻击。但是,该漏洞的性质更为普遍,可能还有其他方法可以利用它。
这些是利用的先决条件:
JDK 9 或更高版本
Apache Tomcat 作为 Servlet 容器
打包为 WAR
哪些特定的库和依赖项容易受到攻击?
spring-webmvc 和 spring-webflux 依赖
Spring 框架:
5.3.0 至 5.3.17
5.2.0 至 5.2.19
旧的、不受支持的版本也会受到影响
WhiteSource 产品是否容易受到 CVE-2022-22965 的攻击?
以下是经常会被问的问题:
Q:WhiteSource 针对我自己的产品修复 CVE-2022-22965 的建议措施是什么?
A:请参阅以下步骤,了解我们解决此漏洞的建议:
运行组织范围的库存报告。如果您需要多组织报告或拥有超过 1000 种产品,我们建议使用 WhiteSource 批量报告生成器工具来简化报告生成。我们还创建了免费的 Spring4Shell 检测工具,它可以快速扫描您的项目以找到易受攻击的 Spring4shell 版本
在清单报告中搜索具有引用漏洞实例的库,以识别受影响的应用程序
联系相关团队并提醒他们紧急升级修复
以下是不同的相关修复:受影响版本的用户应应用必要的缓解和/或补救措施:
Mitigation Recommendations(缓解建议):Spring4Shell Zero-Day Vulnerability: Information and Remediation for CVE-2022-22965
Remediation Recommendations(修复建议):WhiteSource Vulnerability Database
注意:如果您使用 Renovate 运行 WhiteSource Enterprise,它将识别并推荐使用最新版本的顶级受影响软件包的拉取请求。
有关该漏洞的进一步更新将在我们的博客 Spring4Shell Zero-Day Vulnerability:Information and Remediation for CVE-2022-22965。如有问题和进一步支持,请联系 WhiteSource授权合作伙伴——龙智。
Q:我需要重新扫描我的项目以检测此漏洞吗?
A:不,WhiteSource 会在我们的索引中一直保持最新的漏洞列表,并且在我们将此漏洞添加到列表后会有关于此漏洞的警报。
Q:当我的项目中引入这种严重的漏洞时,WhiteSource 如何提醒我?
A:如果您的组织设置了策略,那么 WhiteSource 会在您受到此漏洞影响的情况下自动通知您。如果您没有进行该设置,则可以查看 CVE 的警报报告。
Q:如何判断此漏洞是否存在于我的传递依赖项之一中?
A:我们的清单报告、漏洞报告和警报报告都将提供关键信息,以检索您在确定缓解此漏洞的后续步骤所需的所有必要信息。要拿到此报告,您可以使用 UI 或我们的报告 API。
评论