WhiteSource 是否容易受到“Spring4Shell”漏洞 CVE-2022-22965 的影响？

在 2022 年 3 月 31 日，一个新的、严重的关键 Spring 框架漏洞被披露，此漏洞发布编号为 CVE-2022-22965，同时 CVSS 评分为 9.8。

根据我们的应用程序安全计划，WhiteSource 安全专家和工程团队识别并修复了所有出现的此漏洞。作为预防措施的另一个步骤，WhiteSource 在我们的云环境中使用 Web 应用程序防火墙。

请注意，我们的内部影响分析得出的结论是，此 CVE 对 WhiteSource 应用程序没有重大影响。我们还想重申 WhiteSource 应用程序的 CVE 详细信息是最新的，并鼓励我们的客户使用 WhiteSource 扫描他们的代码，以辨别他们的代码是否受到此漏洞的影响。

什么是 CVE-2022-22965？

根据这里 Spring 的官方公告，目前对 CVE-2022-22965 的描述如下：

在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行 (RCE) 的攻击。具体的利用需要应用程序作为 WAR 部署在 Tomcat 上运行。如果应用程序部署为 Spring Boot 可执行 jar，即默认值，则它不易受到攻击。但是，该漏洞的性质更为普遍，可能还有其他方法可以利用它。

这些是利用的先决条件：

JDK 9 或更高版本

Apache Tomcat 作为 Servlet 容器

打包为 WAR

哪些特定的库和依赖项容易受到攻击？

• spring-webmvc 和 spring-webflux 依赖

• Spring 框架：

• 5.3.0 至 5.3.17

• 5.2.0 至 5.2.19

• 旧的、不受支持的版本也会受到影响

WhiteSource 产品是否容易受到 CVE-2022-22965 的攻击？

以下是经常会被问的问题：

Q：WhiteSource 针对我自己的产品修复 CVE-2022-22965 的建议措施是什么？

A：请参阅以下步骤，了解我们解决此漏洞的建议：

1. 运行组织范围的库存报告。如果您需要多组织报告或拥有超过 1000 种产品，我们建议使用 WhiteSource 批量报告生成器工具来简化报告生成。我们还创建了免费的 Spring4Shell 检测工具，它可以快速扫描您的项目以找到易受攻击的 Spring4shell 版本

2. 在清单报告中搜索具有引用漏洞实例的库，以识别受影响的应用程序

3. 联系相关团队并提醒他们紧急升级修复

4. 以下是不同的相关修复：受影响版本的用户应应用必要的缓解和/或补救措施：

5. Mitigation Recommendations（缓解建议）：Spring4Shell Zero-Day Vulnerability: Information and Remediation for CVE-2022-22965
   

6. Remediation Recommendations（修复建议）：WhiteSource Vulnerability Database
   

注意：如果您使用 Renovate 运行 WhiteSource Enterprise，它将识别并推荐使用最新版本的顶级受影响软件包的拉取请求。

有关该漏洞的进一步更新将在我们的博客 Spring4Shell Zero-Day Vulnerability:Information and Remediation for CVE-2022-22965。如有问题和进一步支持，请联系 WhiteSource授权合作伙伴——龙智。

Q：我需要重新扫描我的项目以检测此漏洞吗？

A：不，WhiteSource 会在我们的索引中一直保持最新的漏洞列表，并且在我们将此漏洞添加到列表后会有关于此漏洞的警报。

Q：当我的项目中引入这种严重的漏洞时，WhiteSource 如何提醒我？

A：如果您的组织设置了策略，那么 WhiteSource 会在您受到此漏洞影响的情况下自动通知您。如果您没有进行该设置，则可以查看 CVE 的警报报告。

Q：如何判断此漏洞是否存在于我的传递依赖项之一中？

A：我们的清单报告、漏洞报告和警报报告都将提供关键信息，以检索您在确定缓解此漏洞的后续步骤所需的所有必要信息。要拿到此报告，您可以使用 UI 或我们的报告 API。