最近更新: 4/15/2022

事件說明

由於媒體的大量報導，一些客戶已開始詢問我們的產品是否受Spring漏洞的影響。具體地說，CVE-2022-22965是使用Java應用程式的開源框架 Spring (CVSS 9.8) 所產生的關鍵嚴重性RCE漏洞，該問題也被稱為「Spring4Shell」或「SpringShell」。

根據Spring框架官方部落格文件說明，要產生上述漏洞需要同時滿足以下條件：

• 使用JDK9或以上版本
• 封裝成WAR並佈署於獨立的Servlet容器
• 使用spring-webmvc或是spring-webflux模組
• 使用Spring Framework 5.3.0~5.3.17, 5.2.0~5.2.19或更舊的版本

雖然ArcGIS Enterprise和 ArcGIS Online兩項產品有使用 Spring Framework，但並不受 CVE-2022-22965 與 CVE-2022-22968  兩個漏洞影響，因為這些產品並沒有使用 Spring MVC 或是 Spring Webflux 模組，因此目前並不需要為ArcGIS的產品或服務製作任何的安全性更新。

附註

ArcGIS Enterprise 10.9.1（10.8.1亦同）使用的Spring Framework版本為5.0.9。

目前ArcGIS Enterprise使用的Spring模組如下圖

參考資料

https://www.esri.com/arcgis-blog/products/trust-arcgis/administration/spring-framework-rce-vulnerabilities/