由於相關媒體的大量報導,一些客戶已開始詢問我們的產品是否受Spring漏洞的影響。具體地說,「CVE-2022-22965」是使用Java應用程式的開源框架 Spring (CVSS 9.8) 所產生的關鍵嚴重性RCE漏洞,該問題也被稱為「Spring4Shell」或「SpringShell」。
根據Spring框架官方部落格文件說明,要產生上述漏洞需要同時滿足以下條件:
- 使用JDK9或以上版本
- 封裝成WAR並佈署於獨立的Servlet容器
- 使用spring-webmvc或是spring-webflux模組
- 使用Spring Framework 5.3.0~5.3.17, 5.2.0~5.2.19或更舊的版本
雖然ArcGIS Enterprise和 ArcGIS Online兩項產品有使用 Spring Framework,但並不受「 CVE-2022-22965」 與 「CVE-2022-22968」 兩個漏洞影響,因為這些產品並沒有使用 Spring MVC 或是 Spring Webflux 模組,因此目前並不需要為ArcGIS的產品或服務製作任何的安全性更新。
附註
ArcGIS Enterprise 10.9.1(10.8.1亦同)使用的Spring Framework版本為5.0.9。
目前ArcGIS Enterprise使用的Spring模組如下圖
參考資料
最近更新: 4/15/2022