在2022 年 3 月 31 日,一个新的、严重的关键 Spring 框架漏洞被披露,此漏洞发布编号为 CVE-2022-22965,同时CVSS 评分为 9.8。根据我们的应用程序安全计划,WhiteSource 安全专家和工程团队识别并修复了所有出现的此漏洞。作为预防措施的另一个步骤,WhiteSource 在我们的云环境中使用 Web 应用程序防火墙。
请注意,我们的内部影响分析得出的结论是,此 CVE 对 WhiteSource 应用程序没有重大影响。我们还想重申 WhiteSource 应用程序的 CVE 详细信息是最新的,并鼓励我们的客户使用 WhiteSource 扫描他们的代码,以辨别他们的代码是否受到此漏洞的影响。
什么是 CVE-2022-22965?
根据这里 Spring 的官方公告,目前对 CVE-2022-22965 的描述如下:
在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行 (RCE) 的攻击。具体的利用需要应用程序作为 WAR 部署在 Tomcat 上运行。如果应用程序部署为 Spring Boot 可执行 jar,即默认值,则它不易受到攻击。但是,该漏洞的性质更为普遍,可能还有其他方法可以利用它。
这些是利用的先决条件:
JDK 9 或更高版本
Apache Tomcat 作为 Servlet 容器
打包为 WAR
哪些特定的库和依赖项容易受到攻击?
- spring-webmvc 和 spring-webflux 依赖
- Spring框架:
- 5.3.0 至 5.3.17
- 5.2.0 至 5.2.19
- 旧的、不受支持的版本也会受到影响
WhiteSource 产品是否容易受到 CVE-2022-22965 的攻击?
| WhiteSource Product | Vulnerable to CVE-2022-22965? |
|---|---|
| Unified Agent | No |
| K8S Agent | No |
| AVM Agent | No |
| Fortify Parser | No |
| Essentials | No |
| WhiteSource Core (UI and Dedicated Instances) | No |
| Artifactory Plugin | Hotfix 22.3.1.1 已发布,请联系WhiteSource中国合作伙伴【龙智】获取 |
| Bolt 4 Azure Server | No |
| AMP Server | No |
| Jenkins Plugin | No |
| Renovate | No |
| Jira Cloud Plugin | No |
| Jira Server Plugin | Hotfix 22.3.1.1 已发布。请通过您的管理应用页面更新到此最新版本,或通过 Atlassian Marketplace 安装。 |
| WS CLI | No |
| WhiteSource Diffend | No |
| IDE Plugins (Advise) | No |
| Developer Integrations (SCM integrations) (Hosted & Self-Hosted) | No |
| On-Premise (Dockerized and non-Dockerized) | No |
以下是 经常 会被问 的问题:
Q :WhiteSource 针对我自己的产品修复 CVE-2022-22965 的建议措施是什么?
A: 请参阅以下步骤,了解我们解决此漏洞的建议:
- 运行组织范围的库存报告。如果您需要多组织报告或拥有超过 1000 种产品,我们建议使用 WhiteSource 批量报告生成器工具来简化报告生成。我们还创建了免费的 Spring4Shell 检测工具,它可以快速扫描您的项目以找到易受攻击的 Spring4shell 版本
- 在清单报告中搜索具有引用漏洞实例的库,以识别受影响的应用程序
- 联系相关团队并提醒他们紧急升级修复
- 以下是不同的相关修复:受影响版本的用户应应用必要的缓解和/或补救措施:
- Mitigation Recommendations( 缓解建议 ): Spring4Shell Zero-Day Vulnerability: Information and Remediation for CVE-2022-22965
- Remediation Recommendations( 修复建议): WhiteSource Vulnerability Database
注意:如果您使用 Renovate 运行 WhiteSource Enterprise,它将识别并推荐使用最新版本的顶级受影响软件包的拉取请求。
有关该漏洞的进一步更新将在我们的博客 Spring4Shell Zero-Day Vulnerability:Information and Remediation for CVE-2022-22965。如有问题和进一步支持,请联系 WhiteSource授权合作伙伴——龙智。
Q :我需要重新扫描我的项目以检测此漏洞吗?
A: 不,WhiteSource 会在我们的索引中一直保持最新的漏洞列表,并且在我们将此漏洞添加到列表后会有关于此漏洞的警报。
Q:当我的项目中引入这种严重的漏洞时,WhiteSource 如何提醒我?
A: 如果您的组织设置了策略,那么 WhiteSource 会在您受到此漏洞影响的情况下自动通知您。如果您没有进行该设置,则可以查看 CVE 的警报报告。
Q:如何判断此漏洞是否存在于我的传递依赖项之一中?
A: 我们的清单报告、漏洞报告和警报报告都将提供关键信息,以检索您在确定缓解此漏洞的后续步骤所需的所有必要信息。要拿到此报告,您可以使用 UI 或我们的报告 API。
