Kritická zranitelnost zabezpečení knihovny Spring4Shell

Kritická zranitelnost zabezpečení knihovny Spring4Shell

Zranitelnost Spring4Shell (CVE-2022-22965, CVE-2022-22963)

Ve Spring Frameworku byla objevena zranitelnost Spring4Shell. V případě zneužití zasláním upraveného dotazu webové službě lze na serveru spustit škodlivý kód.

Ta (konkrétně pouze CVE-2022-22965) se týká níže uvedených produktů, které dodává společnost Konica Minolta:

SafeQ 6 (SafeQ 5 není postiženo)
Dispatcher Paragon

Doporučujeme aplikovat patch na všech serverech, na kterém tyto aplikace běží dle níže uvedeného postupu.
Patch je ke stažení zde: https://bit.ly/3DSEbLi

Krok 1 - Zazálohujte obsah těchto adresářů

\SPOC\EUI\webapps
\Management\tomcat\webapps

Krok 2 - Zastavte tyto služby (pokud některou nenajdete, ignorujte ji):

YSoft SafeQ Management Service
YSoft SafeQ End User Interface
YSoft SafeQ Payment System

resp.

Dispatcher Paragon Management Service
Dispatcher Paragon End User Interface
Dispatcher Paragon Payment System

Krok 3 - Spusťte patch (bez parametrů)
Krok 4 - Spusťte zastavené služby

U release 67 a 68 není potřeba patch aplikovat.

V release 69 bude Spring Framework updatován na verzi, která zranitelnost neobsahuje. Předpokládané datum vydání je druhá polovina května.

V případě potřeby nás kontaktujte na adresách U2FsdGVkX18yY8uotWFbFEsd+fzlwUemspjStSTsyJOq8aQp/d0KJ5sVagTCVPAl nebo U2FsdGVkX1/QEFrL1HxR4sjGXnKrOfHjG6/WO7nBB5LiUra5F3ht8AQT7hJi3W4i

Tato stránka bude průběžně aktualizována dle vývoje situace.

Kritická zranitelnost zabezpečení knihovny Spring4Shell

Zranitelnost Spring4Shell (CVE-2022-22965, CVE-2022-22963)

Kontaktní formulář – spojte se s námi