Spring Frameworkの最近の脆弱性とManageEngine製品(オンプレミス)への影響について
作成日:2022年4月5日 | 更新日:2022年4月5日
本投稿では、本社のお知らせ「Update on the recent vulnerabilities in Spring framework and the impact on ManageEngine on-premise products」を翻訳したものを掲載いたします。
JDK 9以降で動作するSpring MVCとSpring WebFluxアプリケーションに影響する、Spring Frameworkの重大な脆弱性(CVE-2022-22965) は、2022年3月31日に一般に公開されました。この脆弱性の詳細は、VMware/Springにより、以下のように報告されています。
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
以下のManageEngine製品(オンプレミス)は、Spring Frameworkライブラリを使用していないか、バンドルしていないため、CVE-2022-22965の影響はありません。
- ADAudit Plus
- ADManager Plus
- Application Control Plus
- Applications Manager
- Asset Explorer
- Browser Security Plus
- Cloud Security Plus
- Data Security Plus
- Desktop Central
- Desktop Central MSP
- Device Control Plus
- Endpoint DLP Plus
- Exchange Reporter Plus
- Firewall Analyzer
- Key Manager Plus
- Log360 UEBA
- M365 Manager Plus
- M365 Security Plus
- Mobile Device Manager Plus
- Mobile Device Manager Plus MSP
- NetFlow Analyzer
- Network Configurations Manager
- OpManager
- OpUtils
- OS Deployer
- PAM360
- Password Manager Pro
- Patch Connect Plus
- Patch Manager Plus
- Recovery Manager Plus
- Remote Access Plus
- RMM Central
- Secure Gateway Server
- ServiceDesk Plus
- ServiceDesk Plus MSP
- SharePoint Manager Plus
- Support Centre Plus
- Vulnerability Manager Plus
以下のManageEngine製品(オンプレミス)は、Spring Frameworkライブラリが含まれておりますが、JDK 8を使用しているため、CVE-2022-22965の影響はありません。
- Access Manager Plus
- AD360
- ADSelfService Plus
- EventLog Analyzer
- Log360
Spring Cloud Function(CVE-2022-22963)にも重大な脆弱性が報告されておりますが、いずれのManageEngine製品(オンプレミス)でも使用していないため、CVE-2022-22963の影響はありません。