Zranitelnost Spring4Shell
CVE-2022-22965, CVE-2022-22963

 

Ve Spring Frameworku byla objevena zranitelnost Spring4Shell. V případě zneužití zasláním upraveného dotazu webové službě lze na serveru spustit škodlivý kód.

Ta (konkrétně pouze CVE-2022-22965) se týká níže uvedených produktů, které dodává naše společnost RIBBON:

  • SafeQ 6 (SafeQ 5 není postiženo)
  • Dispatcher Paragon



Doporučujeme aplikovat patch na všech serverech, na kterém tyto aplikace běží dle níže uvedeného postupu.
Patch je ke stažení zde: Spring4Shell-CVE-2022-22965-CVE-2022-22963
 
Krok 1 - Zazálohujte obsah těchto adresářů

  • \SPOC\EUI\webapps
  • \Management\tomcat\webapps
 
Krok 2 - Zastavte tyto služby (pokud některou nenajdete, ignorujte ji):
  • YSoft SafeQ Management Service
  • YSoft SafeQ End User Interface
  • YSoft SafeQ Payment System
resp.
  • Dispatcher Paragon Management Service
  • Dispatcher Paragon End User Interface
  • Dispatcher Paragon Payment System

 
Krok 3 - Spusťte patch (bez parametrů)
Krok 4 - Spusťte zastavené služby
  
 
U release 67 a 68 není potřeba patch aplikovat.


V release 69 bude Spring Framework updatován na verzi, která zranitelnost neobsahuje. Předpokládané datum vydání je druhá polovina května.
 
V případě potřeby nás kontaktujte na adresách it@ribbon.cz .
 
Tato stránka bude průběžně aktualizována dle vývoje situace.


 
 


Máte zájem o opravu?

 
Vaše osobní údaje budou zpracovány dle pravidel o ochraně osobních údajů.
Povinné údaje