• はてなブックマーク
  • テクノロジー
  • Spring Frameworkの脆弱性 CVE-2022-22965(Spring4shell)についてまとめてみた - piyolog
  • Twitterでシェア
  • Facebookでシェア

Spring Frameworkの脆弱性 CVE-2022-22965(Spring4shell)についてまとめてみた - piyolog

テクノロジー カテゴリーの変更を依頼 記事元:piyolog.hatenadiary.jp
適切な情報に変更
215 usersがブックマーク コメント28

    記事へのコメント28

    • 注目コメント
    • 新着コメント
    koroharo
    koroharo こちらはJDK6の世界線です。そちらはお元気ですか。

    2022/04/01 リンク

    その他
    koubyint
    koubyint JDK8が主力の世界線なのでセーフ!!

    2022/04/01 リンク

    その他
    homarara
    homarara log4jに続いてまたしても、旧バージョンを平気で使い続けたオールドタイプの弊社は神回避。

    2022/04/01 リンク

    その他
    kazokmr
    kazokmr 組み込みtomcat使ってて、jarでパッケージングしてるbootアプリは対象外ってことかな?ちゃんと問題を確認してないけど。

    2022/04/01 リンク

    その他
    gakuhiro
    gakuhiro 今のプロジェクトがJava6からJava8への移行だから関係なさそう。

    2022/04/01 リンク

    その他
    ryunosinfx
    ryunosinfx CVSSv3 9.8! Log4Shellの10には及ばないものの、かなりヒャッハーな高ポイント!神回避は何時まで可能なのか!?

    2022/04/01 リンク

    その他
    buzztaiki
    buzztaiki exploit 見たら懐かしの https://piyolog.hatenadiary.jp/entry/20140417/1397750197 と似てると思った。

    2022/04/01 リンク

    その他
    cubed-l
    cubed-l JetBrainsの2020年のBlog記事に寄ればJava8に留まっているところが多いんだとか。2022年でもあまり変わってないというのが俺の感覚ですが、皆様いかがでしょうか。 https://blog.jetbrains.com/ja/idea/2020/10/a-picture-of-java-in-2020-ja/

    2022/04/01 リンク

    その他
    JULY
    JULY なんか、Java 8 以下の方が多そうで、なにかほっこりするような、それで良いのかみたいな。そういう私から見えているプロジェクトも Java 8 ですが。

    2022/04/01 リンク

    その他
    strawberryhunter
    strawberryhunter 弊社は最新のJDKを使いつつ、高みの見物。Log4jも無関係だった。↓PHPじゃあるまいし、OpenJDKにしてどんどんバージョン上げたらいいよ。

    2022/04/01 リンク

    その他
    tmatsuu
    tmatsuu JDK9以上でTomcatをサーブレットコンテナとして使用しWARファイルとしてパッケージ化、さらにsprint-webmvcまたはspring-webluxとの依存関係がある場合。多そうだ。

    2022/04/02 リンク

    その他
    k1take
    k1take ブコメ、JDK6とJDK8を使ってて回避できてる人が多くて良かった…のかな?(JDK6がリリースされたの16年前なのか…)

    2022/04/02 リンク

    その他
    wisboot
    wisboot なんという高リスク脆弱性。環境が当たると当該サーバの全権限が掌握されてしまう、ヤバすぎ/なおウチは6なので何も関係ない模様(というかSpring自体使ってない化石

    2022/04/02 リンク

    その他
    habarhaba
    habarhaba うちも実はJava8

    2022/04/02 リンク

    その他
    IGA-OS
    IGA-OS CVE番号も採番されたんか。対応される各位お疲れさまです

    2022/04/01 リンク

    その他
    ysksy
    ysksy Java9なんて業務で使ったことないからセーフ。先日陳情してひとつのプロジェクトをJava7に上げる許可が降りたとこだぜ。

    2022/04/01 リンク

    その他
    cubed-l
    cubed-l JetBrainsの2020年のBlog記事に寄ればJava8に留まっているところが多いんだとか。2022年でもあまり変わってないというのが俺の感覚ですが、皆様いかがでしょうか。 https://blog.jetbrains.com/ja/idea/2020/10/a-picture-of-java-in-2020-ja/

    2022/04/01 リンク

    その他
    strawberryhunter
    strawberryhunter 弊社は最新のJDKを使いつつ、高みの見物。Log4jも無関係だった。↓PHPじゃあるまいし、OpenJDKにしてどんどんバージョン上げたらいいよ。

    2022/04/01 リンク

    その他
    JULY
    JULY なんか、Java 8 以下の方が多そうで、なにかほっこりするような、それで良いのかみたいな。そういう私から見えているプロジェクトも Java 8 ですが。

    2022/04/01 リンク

    その他
    buzztaiki
    buzztaiki exploit 見たら懐かしの https://piyolog.hatenadiary.jp/entry/20140417/1397750197 と似てると思った。

    2022/04/01 リンク

    その他
    ryunosinfx
    ryunosinfx CVSSv3 9.8! Log4Shellの10には及ばないものの、かなりヒャッハーな高ポイント!神回避は何時まで可能なのか!?

    2022/04/01 リンク

    その他
    ka-ka_xyz
    ka-ka_xyz 今の会社に移ってからSpringは全く触らなくなってしまったけど(というかjavaからTSに完全移行してしまったけど)、結構大変な事になってるのね… tomcat限定?

    2022/04/01 リンク

    その他
    rryu
    rryu 緩和策が要するに「怪しいリクエスト受けないようアプリケーション全体を改修する」なので素直にバージョンアップした方が早そうな気がするという地獄の始まり感…

    2022/04/01 リンク

    その他
    gakuhiro
    gakuhiro 今のプロジェクトがJava6からJava8への移行だから関係なさそう。

    2022/04/01 リンク

    その他
    coolworld
    coolworld JDK8 SpringBoot1系な世界線で助かった。。。そろそろなんとかしたい

    2022/04/01 リンク

    その他
    kazokmr
    kazokmr 組み込みtomcat使ってて、jarでパッケージングしてるbootアプリは対象外ってことかな?ちゃんと問題を確認してないけど。

    2022/04/01 リンク

    その他
    hiby
    hiby >JDK9以上で実行される なるほど(察)

    2022/04/01 リンク

    その他
    Cald
    Cald JDK8でセーフ()

    2022/04/01 リンク

    その他
    houyhnhm
    houyhnhm うおっ

    2022/04/01 リンク

    その他
    kootaro
    kootaro 毎回わかりやすいまとめありがとうございます。社内に共有させて頂きました。

    2022/04/01 リンク

    その他
    koroharo
    koroharo こちらはJDK6の世界線です。そちらはお元気ですか。

    2022/04/01 リンク

    その他
    sigeharucom
    sigeharucom 2022/04/01 17:10現在 修正された2.6.4、2.5.12のファイルは上がっていない https://mvnrepository.com/artifact/org.springframework.boot/spring-boot https://github.com/spring-projects/spring-boot/releases/tag/v2.6.6 https://github.com/spring-projects/spring-boot/releases/tag/v2.5.12

    2022/04/01 リンク

    その他
    homarara
    homarara log4jに続いてまたしても、旧バージョンを平気で使い続けたオールドタイプの弊社は神回避。

    2022/04/01 リンク

    その他
    n_y_a_n_t_a
    n_y_a_n_t_a Spring Frameworkについては直前にCVE-2022-22963が出ていたので普通に混乱した(老眼定期

    2022/04/01 リンク

    その他
    urd0401
    urd0401 春が来た

    2022/04/01 リンク

    その他
    koubyint
    koubyint JDK8が主力の世界線なのでセーフ!!

    2022/04/01 リンク

    その他
    tukanana
    tukanana [secu

    2022/04/01 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    Spring Frameworkの脆弱性 CVE-2022-22965(Spring4shell)についてまとめてみた - piyolog

    2022年3月31日、Spring Frameworkに致命的な脆弱性が確認され、修正版が公開されました。ここでは関連す...

    ブックマークしたユーザー

    • techtech05212023/09/09 techtech0521
    • nagatomo-beautiful552022/05/08 nagatomo-beautiful55
    • quodius2022/04/20 quodius
    • karahiyo2022/04/06 karahiyo
    • HHR2022/04/06 HHR
    • sawarabi01302022/04/05 sawarabi0130
    • negima19762022/04/04 negima1976
    • feilong2022/04/04 feilong
    • keisuke_yamane2022/04/04 keisuke_yamane
    • aufheben2022/04/04 aufheben
    • rx72022/04/04 rx7
    • sanko04082022/04/03 sanko0408
    • tomofuji0052022/04/03 tomofuji005
    • tmatsuu2022/04/02 tmatsuu
    • nikuyoshi2022/04/02 nikuyoshi
    • kitone2022/04/02 kitone
    • martin_lover_se2022/04/02 martin_lover_se
    • shigeaki1jp2022/04/02 shigeaki1jp
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.