Zranitelnost Spring4Shell
(CVE-2022-22965, CVE-2022-22963)


V Spring Frameworku bola objavená zraniteľnosť Spring4Shell. V prípade zneužitia zaslaním upravenej otázky webovej službe možno na serveri spustiť škodlivý kód.
 
Tá (konkrétne iba CVE-2022-22965) sa týka nižšie uvedených produktov, ktoré dodáva spoločnosť Konica Minolta:
  • SafeQ 6 (SafeQ 5 nie je postihnuté)
  • Dispatcher Paragon

Odporúčame aplikovať patch na všetkých serveroch, na ktorom tieto aplikácie bežia podľa nižšie uvedeného postupu.


Patch si stiahnete na tomto odkaze:  https://bit.ly/3DSEbLi
 
Krok 1 - Zazálohujte obsah týchto adresárov
  • \SPOC\EUI\webapps
  • \Management\tomcat\webapps
 
Krok 2 - Zastavte tieto služby (ak niektorú nenájdete, ignorujte ju):
  • YSoft SafeQ Management Service
  • YSoft SafeQ End User Interface
  • YSoft SafeQ Payment System
resp.
  • Dispatcher Paragon Management Service
  • Dispatcher Paragon End User Interface
  • Dispatcher Paragon Payment System

 
Krok 3 - Spustite patch (bez parametrov)
Krok 4 - Spustite zastavené služby
  
Pri verzii 67 a 68 nie je potrebné patch aplikovať.

 

Vo verzii 69 bude Spring Framework updatovaný na verziu, ktorá zraniteľnosť neobsahuje. Predpokladaný dátum vydania je druhá polovica mája.

 
V prípade potreby nás kontaktujte na adresách info@konicaminolta.cz alebo info@konicaminolta.sk
 
Táto stránka bude priebežne aktualizovaná podľa vývoja situácie.