WhiteSource 是否容易受到“Spring4Shell”漏洞 CVE-2022-22965 的影响?

来源:WhiteSource      作者:龙智      发布时间:2022-03-18 11:50

在2022 年 3 月 31 日,一个新的、严重的关键 Spring 框架漏洞被披露,此漏洞发布编号为 CVE-2022-22965,同时CVSS 评分为 9.8。
根据我们的应用程序安全计划,WhiteSource 安全专家和工程团队识别并修复了所有出现的此漏洞。作为预防措施的另一个步骤,WhiteSource 在我们的云环境中使用 Web 应用程序防火墙。

请注意,我们的内部影响分析得出的结论是,此 CVE 对 WhiteSource 应用程序没有重大影响。我们还想重申 WhiteSource 应用程序的 CVE 详细信息是最新的,并鼓励我们的客户使用 WhiteSource 扫描他们的代码,以辨别他们的代码是否受到此漏洞的影响。

什么是 CVE-2022-22965?

根据这里 Spring 的官方公告,目前对 CVE-2022-22965 的描述如下:

在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行 (RCE) 的攻击。具体的利用需要应用程序作为 WAR 部署在 Tomcat 上运行。如果应用程序部署为 Spring Boot 可执行 jar,即默认值,则它不易受到攻击。但是,该漏洞的性质更为普遍,可能还有其他方法可以利用它。

这些是利用的先决条件:

  • JDK 9 或更高版本
  • Apache Tomcat 作为
  • Servlet 容器
  • 打包为 WAR

哪些特定的库和依赖项容易受到攻击?

根据这里 Spring 的官方公告,目前对 CVE-2022-22965 的描述如下:

spring-webmvc 和 spring-webflux 依赖

Spring框架:

  • 5.3.0 至 5.3.17
  • 5.2.0 至 5.2.19
  • 旧的、不受支持的版本也会受到影响

WhiteSource 产品是否容易受到 CVE-2022-22965 的攻击?

以下是经常会被问的问题:

根据这里 Spring 的官方公告,目前对 CVE-2022-22965 的描述如下:

Q:WhiteSource 针对我自己的产品修复 CVE-2022-22965 的建议措施是什么?

A:请参阅以下步骤,了解我们解决此漏洞的建议:

  1. 运行组织范围的库存报告。如果您需要多组织报告或拥有超过 1000 种产品,我们建议使用 WhiteSource 批量报告生成器工具来简化报告生成。我们还创建了免费的 Spring4Shell 检测工具,它可以快速扫描您的项目以找到易受攻击的 Spring4shell 版本

  2. 在清单报告中搜索具有引用漏洞实例的库,以识别受影响的应用程序

  3. 联系相关团队并提醒他们紧急升级修复

  4. 以下是不同的相关修复:受影响版本的用户应应用必要的缓解和/或补救措施:

  1. Mitigation Recommendations(缓解建议):Spring4Shell Zero-Day Vulnerability: Information and Remediation for CVE-2022-22965

  2. Remediation Recommendations(修复建议):WhiteSource Vulnerability Database

注意:如果您使用 Renovate 运行 WhiteSource Enterprise,它将识别并推荐使用最新版本的顶级受影响软件包的拉取请求。

有关该漏洞的进一步更新将在我们的博客 Spring4Shell Zero-Day Vulnerability:Information and Remediation for CVE-2022-22965。如有问题和进一步支持,请联系 WhiteSource授权合作伙伴——龙智

Q:我需要重新扫描我的项目以检测此漏洞吗?

A:不,WhiteSource 会在我们的索引中一直保持最新的漏洞列表,并且在我们将此漏洞添加到列表后会有关于此漏洞的警报。

Q:当我的项目中引入这种严重的漏洞时,WhiteSource 如何提醒我?

A:如果您的组织设置了策略,那么 WhiteSource 会在您受到此漏洞影响的情况下自动通知您。如果您没有进行该设置,则可以查看 CVE 的警报报告。

Q:如何判断此漏洞是否存在于我的传递依赖项之一中?

A:我们的清单报告、漏洞报告和警报报告都将提供关键信息,以检索您在确定缓解此漏洞的后续步骤所需的所有必要信息。要拿到此报告,您可以使用 UI 或我们的报告 API。

文章来源:https://whitesource.atlassian.net/wiki/spaces/WSK/pages/2497183823/Is+WhiteSource+Vulnerable+to+the+

Spring4Shell+Vulnerability+CVE-2022-22965

whitesource logo

龙智—WhiteSource官方指定合作伙伴

WhiteSource | 随时掌握开源组件的脉搏
使用WhiteSource的免费工具进行开源代码漏洞扫描,在自己的环境中自动查找、修复开源漏洞, 保证开源代码安全。让团队专注于构建,WhiteSource承担重任。它可以进行实时漏洞警报, 自动更新依赖,与本地环境集成等。