写点什么

WhiteSource 是否容易受到“Spring4Shell”漏洞 CVE-2022-22965 的影响?

  • 2022 年 4 月 02 日
  • 本文字数:1369 字

    阅读完需:约 4 分钟

WhiteSource 是否容易受到“Spring4Shell”漏洞 CVE-2022-22965 的影响?

在 2022 年 3 月 31 日,一个新的、严重的关键 Spring 框架漏洞被披露,此漏洞发布编号为 CVE-2022-22965,同时 CVSS 评分为 9.8。

根据我们的应用程序安全计划,WhiteSource 安全专家和工程团队识别并修复了所有出现的此漏洞。作为预防措施的另一个步骤,WhiteSource 在我们的云环境中使用 Web 应用程序防火墙。

请注意,我们的内部影响分析得出的结论是,此 CVE 对 WhiteSource 应用程序没有重大影响。我们还想重申 WhiteSource 应用程序的 CVE 详细信息是最新的,并鼓励我们的客户使用 WhiteSource 扫描他们的代码,以辨别他们的代码是否受到此漏洞的影响。


什么是 CVE-2022-22965?

根据这里 Spring 的官方公告,目前对 CVE-2022-22965 的描述如下:

在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行 (RCE) 的攻击。具体的利用需要应用程序作为 WAR 部署在 Tomcat 上运行。如果应用程序部署为 Spring Boot 可执行 jar,即默认值,则它不易受到攻击。但是,该漏洞的性质更为普遍,可能还有其他方法可以利用它。

这些是利用的先决条件:

JDK 9 或更高版本

Apache Tomcat 作为 Servlet 容器

打包为 WAR


哪些特定的库和依赖项容易受到攻击?

  • spring-webmvc 和 spring-webflux 依赖

  • Spring 框架:

  • 5.3.0 至 5.3.17

  • 5.2.0 至 5.2.19

  • 旧的、不受支持的版本也会受到影响


WhiteSource 产品是否容易受到 CVE-2022-22965 的攻击?


以下是经常会被问的问题:

Q:WhiteSource 针对我自己的产品修复 CVE-2022-22965 的建议措施是什么?

A:请参阅以下步骤,了解我们解决此漏洞的建议:

  1. 运行组织范围的库存报告。如果您需要多组织报告或拥有超过 1000 种产品,我们建议使用 WhiteSource 批量报告生成器工具来简化报告生成。我们还创建了免费的 Spring4Shell 检测工具,它可以快速扫描您的项目以找到易受攻击的 Spring4shell 版本

  2. 在清单报告中搜索具有引用漏洞实例的库,以识别受影响的应用程序

  3. 联系相关团队并提醒他们紧急升级修复

  4. 以下是不同的相关修复:受影响版本的用户应应用必要的缓解和/或补救措施:

  5. Mitigation Recommendations(缓解建议):Spring4Shell Zero-Day Vulnerability: Information and Remediation for CVE-2022-22965

  6. Remediation Recommendations(修复建议):WhiteSource Vulnerability Database

注意:如果您使用 Renovate 运行 WhiteSource Enterprise,它将识别并推荐使用最新版本的顶级受影响软件包的拉取请求。

有关该漏洞的进一步更新将在我们的博客 Spring4Shell Zero-Day Vulnerability:Information and Remediation for CVE-2022-22965。如有问题和进一步支持,请联系 WhiteSource授权合作伙伴——龙智

Q:我需要重新扫描我的项目以检测此漏洞吗?

A:不,WhiteSource 会在我们的索引中一直保持最新的漏洞列表,并且在我们将此漏洞添加到列表后会有关于此漏洞的警报。

Q:当我的项目中引入这种严重的漏洞时,WhiteSource 如何提醒我?

A:如果您的组织设置了策略,那么 WhiteSource 会在您受到此漏洞影响的情况下自动通知您。如果您没有进行该设置,则可以查看 CVE 的警报报告。

Q:如何判断此漏洞是否存在于我的传递依赖项之一中?

A:我们的清单报告、漏洞报告和警报报告都将提供关键信息,以检索您在确定缓解此漏洞的后续步骤所需的所有必要信息。要拿到此报告,您可以使用 UI 或我们的报告 API。

用户头像

还未添加个人签名 2021.05.18 加入

还未添加个人简介

评论

发布
暂无评论
WhiteSource 是否容易受到“Spring4Shell”漏洞 CVE-2022-22965 的影响?_Spring4Shell_龙智—DevSecOps解决方案_InfoQ写作平台