Informácie k zraniteľnosti Java Spring frameworku

| 4 apríla 2022

Spoločnosť Konica Minolta bola upozornená na dve kritické zraniteľnosti, ktoré môžu zásadne ovplyvniť určité aplikácie a služby. Ide o zraniteľnosť Java Spring frameworku, a to konkrétne vzdialeného spustenia kódu Spring4Shell - Spring Core RCE (CVE-2022-22965) a Spring Cloud Function RCE (CVE- 2022-22963).


CVE-2022-22965 (Spring4Shell) sa nachádza vo frameworku Spring Core a bola pozorovaná a potvrdená koncom marca roku 2022. Spring Framework je aplikačný framework s otvoreným zdrojovým kódom, ktorý sa používa na vývoj aplikácií založených v jazyku Java, ktorého cieľom je pomáhať vývojárom rýchlejšie vytvárať aplikácie. V prípade CVE-2022-22963 (Spring Cloud Function RCE) bola zraniteľnosť nahlásená tiež koncom marca tohto roku a týka sa funkcií Spring Cloud verzií 3.1.6, 3.2.2 a starších nepodporovaných verzií.
 
Po získaní tejto informácie sme začali uvedený nedostatok okamžite riešiť. Momentálne sa stále nachádzame v rannej fáze, preto nemáme k dispozícii kompletný zoznam postihnutých produktov Konica Minolta. V súčasnej dobe tiež vyhodnocujeme, ktoré verzie ponúkaných aplikácií môžu byť ovplyvnené, a ak sú, ako tento nedostatok zabezpečenia napraviť. Aktuálne informácie nájdete tu.
 
Bezpečnosť našich zariadení, aplikácií a služieb je pre nás prvoradá. Na riešení pracujeme s najvyššou možnou prioritou a rýchlosťou, a pravidelne vám budeme poskytovať aktualizácie.