CVE-2024-38821 (CVSS 9.1) Allows Authorization Bypass in Spring WebFlux Applications
2024/10/28 SecurityOnline — Spring Security が公開したのは、WebFlux アプリケーションに影響を及ぼす可能性のある、深刻な脆弱性 CVE-2024-38821 (CVSS:9.1) のセキュリティ・アドバイザリである。この脆弱性が悪用されると、特定の条件下において、WebFlux アプリケーション内で認証バイパスが可能になり、静的リソースへの不正アクセスが生じる恐れがある。それにより攻撃者は、アプリケーションのセキュリティを損なう可能性を手にする。
Spring のアドバイザリによると、この認証バイパスは、以下の全条件を満たす、Spring WebFlux アプリケーションで発生する。
- アプリケーションが、Spring WebFlux を用いて構築されている。
- アプリケーションが、Spring の静的リソース・サポートを利用している。
- アプリケーションが、静的リソースに非 permitAll 認証ルールを適用している。
影響を受けるバージョンには、Spring Security 5.7.x 〜 6.3.x が含まれる。具体的には、以下のバージョンである:
- 5.7.0 – 5.7.12
- 5.8.0 – 5.8.14
- 6.0.0 – 6.0.12
- 6.1.0 – 6.1.10
- 6.2.0 – 6.2.6
- 6.3.0 – 6.3.3
すでにサポート期間が終了している、Spring Security の古いバージョンも影響を受ける。Spring Security チームのアドバイスは、「影響を受けるバージョンのユーザーは、対応する修正バージョンにアップグレードする必要がある」と指摘している。
それぞれのバージョンについては、オープンソース ソフトウェア (OSS) と、エンタープライズ・ サポートの両チャネルで、更新できると説明されている。
この問題を解決するために、Spring が推奨するのは、最新のセキュリティで保護されたバージョンへと、速やかに更新することだ:
- For the 5.7.x series: Update to 5.7.13 (available through Enterprise Support).
- For the 5.8.x series: Update to 5.8.15 (Enterprise Support).
- For the 6.0.x series: Update to 6.0.13 (Enterprise Support).
- For the 6.1.x series: Update to 6.1.11 (Enterprise Support).
- For the 6.2.x series: Update to 6.2.7 (OSS).
- For the 6.3.x series: Update to 6.3.4 (OSS).
Spring Security の、影響を受けるバージョン を使用している組織に強く推奨されるのは、この更新を優先して実施し、潜在的な悪用から保護することだ。ソフトウェア・コンポーネントを、特に認証を管理するコンポーネントを最新の状態に保つことは、不正アクセスを防止するために不可欠である。
文中では、認証を管理するコンポーネントと指摘されていますが、Spring WebFlux のサイトを見ても、そのあたりこととが、よく分かりませんでした。Qiita には「Spring WebFlux 覚え書き」という記事がありますので、ご興味ある方は、Spring で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.