Zranitelnost Spring4Shell
(CVE-2022-22965, CVE-2022-22963)

V Spring Frameworku bola objavená zraniteľnosť Spring4Shell. V prípade zneužitia zaslaním upravenej otázky webovej službe možno na serveri spustiť škodlivý kód.
 
Tá (konkrétne iba CVE-2022-22965) sa týka nižšie uvedených produktov, ktoré dodáva spoločnosť Konica Minolta:

• SafeQ 6 (SafeQ 5 nie je postihnuté)
• Dispatcher Paragon

Odporúčame aplikovať patch na všetkých serveroch, na ktorom tieto aplikácie bežia podľa nižšie uvedeného postupu.

Patch si stiahnete na tomto odkaze:  https://bit.ly/3DSEbLi
 
Krok 1 - Zazálohujte obsah týchto adresárov

• \SPOC\EUI\webapps
• \Management\tomcat\webapps

 
Krok 2 - Zastavte tieto služby (ak niektorú nenájdete, ignorujte ju):

• YSoft SafeQ Management Service
• YSoft SafeQ End User Interface
• YSoft SafeQ Payment System

resp.

• Dispatcher Paragon Management Service
• Dispatcher Paragon End User Interface
• Dispatcher Paragon Payment System

 
Krok 3 - Spustite patch (bez parametrov)
Krok 4 - Spustite zastavené služby
  
Pri verzii 67 a 68 nie je potrebné patch aplikovať.

 

Vo verzii 69 bude Spring Framework updatovaný na verziu, ktorá zraniteľnosť neobsahuje. Predpokladaný dátum vydania je druhá polovica mája.

 
V prípade potreby nás kontaktujte na adresách info@konicaminolta.cz alebo info@konicaminolta.sk
 
Táto stránka bude priebežne aktualizovaná podľa vývoja situácie.