CVE-2022-22965 Spring Framework に対するマイクロソフトの対応

本ブログは、Microsoft’s Response to CVE-2022-22965 Spring Framework の抄訳版です。最新の情報は原文を参照してください。

マイクロソフトは、2022 年 3 月 31 日に公開されたリモートコード実行の脆弱性 CVE-2022-22965 の分析をお知らせするために、Spring Framework RCE, Early Announcementを確認しました。現時点では、マイクロソフトのエンタープライズ サービスでのセキュリティ影響はなく、この脆弱性によるサービス可用性の低下もありません。

• Spring Framework RCE の脅威分析: SpringShell RCE vulnerability: Guidance for protecting against and detecting CVE-2022-22965 – Microsoft Security Blog.
• 更新と緩和のガイダンス: Spring Framework RCE, Early Announcement

マイクロソフトのセキュリティ チームは、Spring Framework で CVE-2022-22965 のインスタンスを特定するために、製品とサービスの分析を続けています。脆弱なインスタンスが発見された場合、Spring の最新のガイダンスに基づいて更新または緩和します。

お客様での追加の作業を必要とするリスクまたは脆弱性が特定された場合、影響を受けるお客様に通知を行う予定です。

お客様は、Spring の最新のガイダンスに基づいて、自身が管理するアプリケーションを分析し，更新または緩和する必要があります。

お客様が Microsoft サービス上に展開しているオペレーティング システム、ソフトウェア、およびアプリケーションのアップグレードとセキュリティ修正プログラムの適用は、お客様にて実施する責任があります。

各マイクロソフトサービスでのソフトウェアの更新とセキュリティ修正プログラム適用の管理方法の詳細については、セキュリティ更新情報を参照してください。
お客様は、Spring Framework の更新プログラムをできるだけ早く適用することをお勧めします。

このガイダンスは 調査の進展に伴い更新する予定です。

MSRC チーム

改訂履歴:
2022/04/05 – 初版発行