Kritická zranitelnost zabezpečení knihovny Spring4Shell

Kritická zranitelnost zabezpečení knihovny Spring4Shell

Zranitelnost Spring4Shell (CVE-2022-22965, CVE-2022-22963)

Ve Spring Frameworku byla objevena zranitelnost Spring4Shell. V případě zneužití zasláním upraveného dotazu webové službě lze na serveru spustit škodlivý kód.

Ta (konkrétně pouze CVE-2022-22965) se týká níže uvedených produktů, které dodává společnost Konica Minolta:

SafeQ 6 (SafeQ 5 není postiženo)
Dispatcher Paragon

Doporučujeme aplikovat patch na všech serverech, na kterém tyto aplikace běží dle níže uvedeného postupu.
Patch je ke stažení zde: https://bit.ly/3DSEbLi

Krok 1 - Zazálohujte obsah těchto adresářů

\SPOC\EUI\webapps
\Management\tomcat\webapps

Krok 2 - Zastavte tyto služby (pokud některou nenajdete, ignorujte ji):

YSoft SafeQ Management Service
YSoft SafeQ End User Interface
YSoft SafeQ Payment System

resp.

Dispatcher Paragon Management Service
Dispatcher Paragon End User Interface
Dispatcher Paragon Payment System

Krok 3 - Spusťte patch (bez parametrů)
Krok 4 - Spusťte zastavené služby

U release 67 a 68 není potřeba patch aplikovat.

V release 69 bude Spring Framework updatován na verzi, která zranitelnost neobsahuje. Předpokládané datum vydání je druhá polovina května.

V případě potřeby nás kontaktujte na adresách U2FsdGVkX1/urcGEzEnyLYJ+9GPeDd7En1PWyKarqeBM/mo2yjyfUix5OH0q5iV4 nebo U2FsdGVkX19dURqRs6KzbAhNjbsbXSRHf4g4ZqczqqI580+riF7dqlZTvfKfP/DS

Tato stránka bude průběžně aktualizována dle vývoje situace.

Kritická zranitelnost zabezpečení knihovny Spring4Shell

Zranitelnost Spring4Shell (CVE-2022-22965, CVE-2022-22963)

Kontaktní formulář – spojte se s námi