Zranitelnost Spring4Shell
(CVE-2022-22965, CVE-2022-22963)


Ve Spring Frameworku byla objevena zranitelnost Spring4Shell. V případě zneužití zasláním upraveného dotazu webové službě lze na serveru spustit škodlivý kód.
 
Ta (konkrétně pouze CVE-2022-22965) se týká níže uvedených produktů, které dodává společnost Konica Minolta:
  • SafeQ 6 (SafeQ 5 není postiženo)
  • Dispatcher Paragon
 
Doporučujeme aplikovat patch na všech serverech, na kterém tyto aplikace běží dle níže uvedeného postupu.
Patch je ke stažení zde: https://bit.ly/3DSEbLi
 
Krok 1 - Zazálohujte obsah těchto adresářů
  • \SPOC\EUI\webapps
  • \Management\tomcat\webapps
 
Krok 2 - Zastavte tyto služby (pokud některou nenajdete, ignorujte ji):
  • YSoft SafeQ Management Service
  • YSoft SafeQ End User Interface
  • YSoft SafeQ Payment System
resp.
  • Dispatcher Paragon Management Service
  • Dispatcher Paragon End User Interface
  • Dispatcher Paragon Payment System

 
Krok 3 - Spusťte patch (bez parametrů)
Krok 4 - Spusťte zastavené služby
  
 
U release 67 a 68 není potřeba patch aplikovat.


V release 69 bude Spring Framework updatován na verzi, která zranitelnost neobsahuje. Předpokládané datum vydání je druhá polovina května.

 
 
V případě potřeby nás kontaktujte na adresách info@konicaminolta.cz nebo info@konicaminolta.sk
 
Tato stránka bude průběžně aktualizována dle vývoje situace.