• はてなブックマーク
  • テクノロジー
  • Spring Frameworkの脆弱性 CVE-2022-22965(Spring4shell)についてまとめてみた - piyolog
  • Twitterでシェア
  • Facebookでシェア

Spring Frameworkの脆弱性 CVE-2022-22965(Spring4shell)についてまとめてみた - piyolog

テクノロジー カテゴリーの変更を依頼 記事元:piyolog.hatenadiary.jp
適切な情報に変更
215 usersがブックマーク コメント27

    記事へのコメント27

    • 注目コメント
    • 新着コメント
    koroharo
    koroharo こちらはJDK6の世界線です。そちらはお元気ですか。

    2022/04/01 リンク

    その他
    koubyint
    koubyint JDK8が主力の世界線なのでセーフ!!

    2022/04/01 リンク

    その他
    homarara
    homarara log4jに続いてまたしても、旧バージョンを平気で使い続けたオールドタイプの弊社は神回避。

    2022/04/01 リンク

    その他
    kazokmr
    kazokmr 組み込みtomcat使ってて、jarでパッケージングしてるbootアプリは対象外ってことかな?ちゃんと問題を確認してないけど。

    2022/04/01 リンク

    その他
    gakuhiro
    gakuhiro 今のプロジェクトがJava6からJava8への移行だから関係なさそう。

    2022/04/01 リンク

    その他
    ryunosinfx
    ryunosinfx CVSSv3 9.8! Log4Shellの10には及ばないものの、かなりヒャッハーな高ポイント!神回避は何時まで可能なのか!?

    2022/04/01 リンク

    その他
    buzztaiki
    buzztaiki exploit 見たら懐かしの https://piyolog.hatenadiary.jp/entry/20140417/1397750197 と似てると思った。

    2022/04/01 リンク

    その他
    cubed-l
    cubed-l JetBrainsの2020年のBlog記事に寄ればJava8に留まっているところが多いんだとか。2022年でもあまり変わってないというのが俺の感覚ですが、皆様いかがでしょうか。 https://blog.jetbrains.com/ja/idea/2020/10/a-picture-of-java-in-2020-ja/

    2022/04/01 リンク

    その他
    JULY
    JULY なんか、Java 8 以下の方が多そうで、なにかほっこりするような、それで良いのかみたいな。そういう私から見えているプロジェクトも Java 8 ですが。

    2022/04/01 リンク

    その他
    strawberryhunter
    strawberryhunter 弊社は最新のJDKを使いつつ、高みの見物。Log4jも無関係だった。↓PHPじゃあるまいし、OpenJDKにしてどんどんバージョン上げたらいいよ。

    2022/04/01 リンク

    その他
    tmatsuu
    tmatsuu JDK9以上でTomcatをサーブレットコンテナとして使用しWARファイルとしてパッケージ化、さらにsprint-webmvcまたはspring-webluxとの依存関係がある場合。多そうだ。

    2022/04/02 リンク

    その他
    k1take
    k1take ブコメ、JDK6とJDK8を使ってて回避できてる人が多くて良かった…のかな?(JDK6がリリースされたの16年前なのか…)

    2022/04/02 リンク

    その他
    wisboot
    wisboot なんという高リスク脆弱性。環境が当たると当該サーバの全権限が掌握されてしまう、ヤバすぎ/なおウチは6なので何も関係ない模様(というかSpring自体使ってない化石

    2022/04/02 リンク

    その他
    habarhaba
    habarhaba うちも実はJava8

    2022/04/02 リンク

    その他
    IGA-OS
    IGA-OS CVE番号も採番されたんか。対応される各位お疲れさまです

    2022/04/01 リンク

    その他
    ysksy
    ysksy Java9なんて業務で使ったことないからセーフ。先日陳情してひとつのプロジェクトをJava7に上げる許可が降りたとこだぜ。

    2022/04/01 リンク

    その他
    cubed-l
    cubed-l JetBrainsの2020年のBlog記事に寄ればJava8に留まっているところが多いんだとか。2022年でもあまり変わってないというのが俺の感覚ですが、皆様いかがでしょうか。 https://blog.jetbrains.com/ja/idea/2020/10/a-picture-of-java-in-2020-ja/

    2022/04/01 リンク

    その他
    strawberryhunter
    strawberryhunter 弊社は最新のJDKを使いつつ、高みの見物。Log4jも無関係だった。↓PHPじゃあるまいし、OpenJDKにしてどんどんバージョン上げたらいいよ。

    2022/04/01 リンク

    その他
    JULY
    JULY なんか、Java 8 以下の方が多そうで、なにかほっこりするような、それで良いのかみたいな。そういう私から見えているプロジェクトも Java 8 ですが。

    2022/04/01 リンク

    その他
    buzztaiki
    buzztaiki exploit 見たら懐かしの https://piyolog.hatenadiary.jp/entry/20140417/1397750197 と似てると思った。

    2022/04/01 リンク

    その他
    ryunosinfx
    ryunosinfx CVSSv3 9.8! Log4Shellの10には及ばないものの、かなりヒャッハーな高ポイント!神回避は何時まで可能なのか!?

    2022/04/01 リンク

    その他
    ka-ka_xyz
    ka-ka_xyz 今の会社に移ってからSpringは全く触らなくなってしまったけど(というかjavaからTSに完全移行してしまったけど)、結構大変な事になってるのね… tomcat限定?

    2022/04/01 リンク

    その他
    rryu
    rryu 緩和策が要するに「怪しいリクエスト受けないようアプリケーション全体を改修する」なので素直にバージョンアップした方が早そうな気がするという地獄の始まり感…

    2022/04/01 リンク

    その他
    gakuhiro
    gakuhiro 今のプロジェクトがJava6からJava8への移行だから関係なさそう。

    2022/04/01 リンク

    その他
    coolworld
    coolworld JDK8 SpringBoot1系な世界線で助かった。。。そろそろなんとかしたい

    2022/04/01 リンク

    その他
    kazokmr
    kazokmr 組み込みtomcat使ってて、jarでパッケージングしてるbootアプリは対象外ってことかな?ちゃんと問題を確認してないけど。

    2022/04/01 リンク

    その他
    hiby
    hiby >JDK9以上で実行される なるほど(察)

    2022/04/01 リンク

    その他
    Cald
    Cald JDK8でセーフ()

    2022/04/01 リンク

    その他
    houyhnhm
    houyhnhm うおっ

    2022/04/01 リンク

    その他
    kootaro
    kootaro 毎回わかりやすいまとめありがとうございます。社内に共有させて頂きました。

    2022/04/01 リンク

    その他
    koroharo
    koroharo こちらはJDK6の世界線です。そちらはお元気ですか。

    2022/04/01 リンク

    その他
    sigeharucom
    sigeharucom 2022/04/01 17:10現在 修正された2.6.4、2.5.12のファイルは上がっていない https://mvnrepository.com/artifact/org.springframework.boot/spring-boot https://github.com/spring-projects/spring-boot/releases/tag/v2.6.6 https://github.com/spring-projects/spring-boot/releases/tag/v2.5.12

    2022/04/01 リンク

    その他
    homarara
    homarara log4jに続いてまたしても、旧バージョンを平気で使い続けたオールドタイプの弊社は神回避。

    2022/04/01 リンク

    その他
    n_y_a_n_t_a
    n_y_a_n_t_a Spring Frameworkについては直前にCVE-2022-22963が出ていたので普通に混乱した(老眼定期

    2022/04/01 リンク

    その他
    urd0401
    urd0401 春が来た

    2022/04/01 リンク

    その他
    koubyint
    koubyint JDK8が主力の世界線なのでセーフ!!

    2022/04/01 リンク

    その他
    tukanana
    tukanana [secu

    2022/04/01 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    Spring Frameworkの脆弱性 CVE-2022-22965(Spring4shell)についてまとめてみた - piyolog

    2022年3月31日、Spring Frameworkに致命的な脆弱性が確認され、修正版が公開されました。ここでは関連す...

    ブックマークしたユーザー

    • techtech05212023/09/09 techtech0521
    • nagatomo-beautiful552022/05/08 nagatomo-beautiful55
    • quodius2022/04/20 quodius
    • karahiyo2022/04/06 karahiyo
    • HHR2022/04/06 HHR
    • sawarabi01302022/04/05 sawarabi0130
    • negima19762022/04/04 negima1976
    • feilong2022/04/04 feilong
    • keisuke_yamane2022/04/04 keisuke_yamane
    • aufheben2022/04/04 aufheben
    • rx72022/04/04 rx7
    • sanko04082022/04/03 sanko0408
    • tomofuji0052022/04/03 tomofuji005
    • tmatsuu2022/04/02 tmatsuu
    • nikuyoshi2022/04/02 nikuyoshi
    • kitone2022/04/02 kitone
    • martin_lover_se2022/04/02 martin_lover_se
    • shigeaki1jp2022/04/02 shigeaki1jp
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.
    pFad - Phonifier reborn

    Pfad - The Proxy pFad of © 2024 Garber Painting. All rights reserved.

    Note: This service is not intended for secure transactions such as banking, social media, email, or purchasing. Use at your own risk. We assume no liability whatsoever for broken pages.


    Alternative Proxies:

    Alternative Proxy

    pFad Proxy

    pFad v3 Proxy

    pFad v4 Proxy