Récemment, les chercheurs en sécurité ont identifié trois vulnérabilités d'exécution de code à distance (RCE) associées au framework Spring (CVE-2022-22965, CVE-2022-22963, CVE-2022-22947). Une quatrième vulnérabilité par déni de service (DoS) associée à Spring a également été identifiée, avec un niveau de sévérité moyen : CVE-2022-22950.
Depuis la découverte de ces problèmes, l'équipe de sécurité d'Udemy a travaillé assidûment pour analyser et protéger les systèmes d'Udemy. À l'heure actuelle, rien n'indique que ces vulnérabilités ont eu des répercussions négatives sur des entreprises ou des données personnelles.
Pour les vulnérabilités à haut risque et à fort impact comme celles-ci, nos équipes prennent un certain nombre de mesures immédiates, notamment des tests pour confirmer les niveaux de vulnérabilité, la restriction des connexions réseau et l'application de mises à jour logicielles ou système ou de solutions de contournement si nécessaire. Nos équipes de sécurité et d'ingénierie surveillent notre environnement, nos sous-traitants essentiels et nos fournisseurs pour détecter la présence de ces vulnérabilités, les tentatives d'attaques et les avis des parties tierces sous contrat.
Nous mettrons à jour cette page au fur et à mesure des informations obtenues.Notre équipe de sécurité s'efforce d'assurer la protection de nos systèmes en fonction de l'évolution des recommandations des chercheurs en sécurité. Nous ne sommes donc pas en mesure de fournir des réponses personnalisées. Pour obtenir plus d'informations sur notre stratégie de réponse, reportez-vous aux questions fréquemment posées ci-dessous.
Avez-vous effectué une mise à jour vers une version plus sûre du framework Spring ?
Dès que des versions vulnérables du framework Spring ou d'offres associées étaient auparavant utilisées, nous avons entrepris des efforts de remédiation minutieux, comme la mise à jour vers une version plus récente recommandée ou la mise en œuvre de solutions de contournement recommandées. Nous avons également ajusté nos couches de défense afin de protéger nos systèmes de manière plus globale.
Quand la correction sera-t-elle terminée ?
L'équipe de sécurité d'Udemy suit les recommandations des experts en sécurité et des fournisseurs au fur et à mesure que les modèles d'attaque des vulnérabilités du framework Spring évoluent, et nos efforts de correction et d'atténuation se poursuivront à mesure que ces recommandations seront partagées.
Les données des clients ont-elles été compromises ?
À l'heure actuelle, rien n'indique que cette vulnérabilité a eu des répercussions négatives sur des entreprises ou des données personnelles.
Demandez-vous aux fournisseurs tiers utilisés dans votre environnement quel est l'impact de la vulnérabilité du framework Spring sur leurs solutions ?
Udemy a contacté les sous-traitants principaux d'Udemy Business et met à jour les outils au fur et à mesure de leur publication par les fournisseurs.