FAQ
Spring Framework RCE 脆弱性について
ナレッジ番号:3456 | 登録日:2023/05/29 | 更新日:2024/12/26
説明
この FAQ は、米国Esri社による ArcGIS Blog の記事を翻訳したものです。
メディアで取り上げられることが多くなったため、一部のお客様から、最近発表された様々なSpringの脆弱性に対して、当社の製品が脆弱であるかどうかの問い合わせが来るようになりました。 具体的には、Javaアプリケーション用のオープンソース フレームワークとして人気のある Spring RCE の脆弱性である CVE-2022-22965 です。この問題は、「Spring4Shell」または「SpringShell」としても知られています。
- 一般に公開されている ArcGIS Enterprise および ArcGIS Online は、Spring Framework を利用していますが、Spring MVC および Spring Webflux を利用していないため、この問題の脆弱性は該当しません。
- コンポーネントの開発者によると、Spring Framework (ファイル名 spring-core) が配置されているだけでは、アプリケーションを脆弱にすることはできないそうです。
米国Esri社はこの動向に注視してを調査しています。詳細が判明次第、このページ(※注:該当記事)を更新する予定です。
更新履歴
- 2022/4/4 Enterprise と Online の説明を追加
- 2022/3/31 初期発表リリース
引用
- Spring Framework RCE Vulnerabilities(米国Esri社)
メタデータ
種類
製品
バージョン