微软应对Spring Framework远程代码执行漏洞CVE-2022-22965

微软针对Spring Framework中的远程代码执行漏洞CVE-2022-22965发布安全响应指南,包括漏洞分析、产品更新建议和客户缓解措施,确保企业服务不受影响。

CVE-2022-22965 Spring Framework に対するマイクロソフトの対応

本ブログは、Microsoft’s Response to CVE-2022-22965 Spring Framework の抄訳版です。最新の情報は原文を参照してください。

概要

マイクロソフトは、2022 年 3 月 31 日に公開されたリモートコード実行の脆弱性 CVE-2022-22965 の分析をお知らせするために、Spring Framework RCE, Early Announcementを確認しました。現時点では、マイクロソフトのエンタープライズ サービスでのセキュリティ影響はなく、この脆弱性によるサービス可用性の低下もありません。

Spring Framework RCE の脅威分析: SpringShell RCE vulnerability: Guidance for protecting against and detecting CVE-2022-22965 – Microsoft Security Blog. 更新と緩和のガイダンス: Spring Framework RCE, Early Announcement

マイクロソフトのセキュリティ チームは、Spring Framework で CVE-2022-22965 のインスタンスを特定するために、製品とサービスの分析を続けています。脆弱なインスタンスが発見された場合、Spring の最新のガイダンスに基づいて更新または緩和します。

製品固有のガイダンス

  • お客様での追加の作業を必要とするリスクまたは脆弱性が特定された場合、影響を受けるお客様に通知を行う予定です。
  • お客様は、Spring の最新のガイダンスに基づいて、自身が管理するアプリケーションを分析し,更新または緩和する必要があります。
  • お客様が Microsoft サービス上に展開しているオペレーティング システム、ソフトウェア、およびアプリケーションのアップグレードとセキュリティ修正プログラムの適用は、お客様にて実施する責任があります。
  • 各マイクロソフトサービスでのソフトウェアの更新とセキュリティ修正プログラム適用の管理方法の詳細については、セキュリティ更新情報を参照してください。
  • お客様は、Spring Framework の更新プログラムをできるだけ早く適用することをお勧めします。
  • このガイダンスは 調査の進展に伴い更新する予定です。

MSRC チーム

改訂履歴: 2022/04/05 – 初版発行

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次