cve-2022-22965 Spring4Shell の影響調査 | DevelopersIO

はじめに こむろです。 Spring4Shell についてです。どうせお前ら調査してたんだろ？と思ったあなた、大正解です。 結論 非常に広範な影響がありましたが、現時点で、Spring Framework 本体への修正パッチがすでに適用されています。そのためこれに準じたアップデートを実施することで脆弱性を回避できます。 spring-boot-2-6-6 spring-boot-2-5-12 spring-framework-5.3.18 Tomcat 9.0.62 またこれらのアップデートができない場合、以下の対応を取ることもできます。 不要なパラメータのマッピングを行わないようにコードを追加する （Binding のブラックリストへ class.* 系を追加） Java8 へ一旦ダウングレードする Tomcat 9.0.62 へ Update することで設定値自体の書き換えをできないよ

[nazoking]

tomcat の修正マジかって感じで驚愕

[drumsco]

Tomcat上での検証パターン例あり。

[HHR]

Tomcat のログファイル設定のためのパラメータが上書きされ、本来ログファイルとして出力されるものが、JSP ファイルとして出力される

[knjname]

bootJarはPoC成立してないだけなんだよね　緊急性は薄れるけど何があるかわからん

[masaru_b_cl]

一緒に調べてましたが、もうね……という感じでした

[NetPenguin]

これを読んで「うちはspring-bootだから大丈夫」とおもう人いそうだな。 ただちに影響はないってやつで、そもそもクラスローダにアクセスされているのがよろしくないので、はやめにアップデートしたいところ。

[lainof]

EOLはまだまだ先→“（Java8 の EOL まだギリギリ大丈夫なんでしたっけ・・・”

[amebacore]

このページ開いたらスマホのブラウザ（Brave、chrome）がフリーズするんだけど。

[com4dc]

調べたこと書いた