CVE-2024-22233: A high-severity Spring Framework Vulnerability
2024/01/22 SecurityOnline — Spring Framework はオープンソースの Java プラットフォームであり、エンタープライズ・アプリケーション開発のための、包括的なインフラ・サポートを提供している。基本的には、定型的なコードや一般的なタスクを処理することで開発プロセスを簡素化し、アプリケーションのコアとなるビジネスロジックの記述に、開発者が集中できるようにするためのツールキットである。
先日に、このフレームワークで、深刻度の高い新たな脆弱性 CVE-2024-22233 (CVSS:7.5) が発見された。この脆弱性の悪用に成功した攻撃者は、特別に細工した HTTP リクエストを送信して、サービス拒否 (DoS) 状態を引き起こす可能性がある。
この脆弱性は、Spring フレームワーク・バージョン 6.0.15 と 6.1.2 に存在するものであり、一見良さそうに見える HTTP リクエストが、混乱の前触れへと変化する。特定の条件下では、このリクエストによりサービス拒否 (DoS) 状態が引き起こされる可能性があり、正当なユーザーに対するアプリケーションのサービス提供能力の麻痺にいたるという。
アプリケーションが、この脆弱性の影響を受けるのは、いくつかの条件が重なった場合である:
- 動的な Web アプリケーションの作成を容易にするモデル・ビュー・コントローラ・アーキテクチャである Spring MVC の利用。
- クラスパスに、Spring Security バージョン 6.1.6+/6.2.1+ が存在し、認証と保護のレイヤーが追加されている。
- 通常では、
org.springframework.boot:spring-boot-starter-webとorg.springframework.boot:spring-boot-starter-securityの依存関係を組み込んだ Spring Boot アプリケーションが問題に直面する。
この脆弱性は、以下の Spring Framework のバージョン 6.0.15/6.1.2 に影響を及ぼす。ただし、このフレームワークの古いバージョンは、CVE-2024-22233 の影響を受けない。以下のバージョンを使用しているユーザーは、早急に対処することが望まれる:
- Spring Framework 6.0.15: バージョン 6.0.16 へのアップグレード。
- Spring Framework 6.1.2:バージョン 6.1.3 へのアップグレード。
先日に、Evernote で発見された脆弱性は、Electron フレームワークに起因するものでした。Spring や Electron に限らず、さまざまなフレームワークが、さまざまな局面で活用されています。したがって、この領域での脆弱性の影響は、広範に及ぶ可能性があります。ご利用のチームは、ご注意ください。よろしければ、Spring で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.