Ve Spring Frameworku byla objevena zranitelnost Spring4Shell. V případě zneužití zasláním upraveného dotazu webové službě lze na serveru spustit škodlivý kód.
Ta (konkrétně pouze CVE-2022-22965) se týká níže uvedených produktů, které dodává naše společnost RIBBON:
- SafeQ 6 (SafeQ 5 není postiženo)
- Dispatcher Paragon
Doporučujeme aplikovat patch na všech serverech, na kterém tyto aplikace běží dle níže uvedeného postupu.
Patch je ke stažení zde: Spring4Shell-CVE-2022-22965-CVE-2022-22963
Krok 1 - Zazálohujte obsah těchto adresářů
- \SPOC\EUI\webapps
- \Management\tomcat\webapps
Krok 2 - Zastavte tyto služby (pokud některou nenajdete, ignorujte ji):
- YSoft SafeQ Management Service
- YSoft SafeQ End User Interface
- YSoft SafeQ Payment System
resp.
- Dispatcher Paragon Management Service
- Dispatcher Paragon End User Interface
- Dispatcher Paragon Payment System
Krok 3 - Spusťte patch (bez parametrů)
Krok 4 - Spusťte zastavené služby
U release 67 a 68 není potřeba patch aplikovat.
V release 69 bude Spring Framework updatován na verzi, která zranitelnost neobsahuje. Předpokládané datum vydání je druhá polovina května.
V případě potřeby nás kontaktujte na adresách it@ribbon.cz .
Tato stránka bude průběžně aktualizována dle vývoje situace.