ArcGIS與Spring Framework RCE 漏洞 |
作者是 互動小編 |
週五, 22 四月 2022 11:12 |
最近更新: 4/15/2022 事件說明由於媒體的大量報導,一些客戶已開始詢問我們的產品是否受Spring漏洞的影響。具體地說,CVE-2022-22965是使用Java應用程式的開源框架 Spring (CVSS 9.8) 所產生的關鍵嚴重性RCE漏洞,該問題也被稱為「Spring4Shell」或「SpringShell」。 根據Spring框架官方部落格文件說明,要產生上述漏洞需要同時滿足以下條件:
雖然ArcGIS Enterprise和 ArcGIS Online兩項產品有使用 Spring Framework,但並不受 CVE-2022-22965 與 CVE-2022-22968 兩個漏洞影響,因為這些產品並沒有使用 Spring MVC 或是 Spring Webflux 模組,因此目前並不需要為ArcGIS的產品或服務製作任何的安全性更新。 附註ArcGIS Enterprise 10.9.1(10.8.1亦同)使用的Spring Framework版本為5.0.9。 目前ArcGIS Enterprise使用的Spring模組如下圖
參考資料 |