最近のセキュリティ調査により、Spring Frameworkで3つのリモートコード実行(RCE)の脆弱性(CVE-2022-22965、CVE-2022-22963、CVE-2022-22947)が確認されました。 さらに、Springの4つ目のDoS攻撃の脆弱性もあり(CVE-2022-22950)、こちらは重要度Medium(中)に分類されます。
これらの問題が最初に確認されて以来、Udemyのセキュリティチームでは、システムを注意深くチェックし、保護してきました。現時点において、これらの脆弱性が企業や個人のデータに悪影響を及ぼしたという指標はありません。
このようにリスクが高く、深刻な影響を及ぼす脆弱性について、Udemyのチームは、脆弱性レベルの確認、ネットワーク接続の制限、ソフトウェアやシステムのアップデートの適用、必要に応じたワークアラウンドの実行など、多くの対策を速やかに講じています。セキュリティチームとエンジニアリングチームでは、Udemyの環境、主要な復処理者、これらの脆弱性インスタンスのベンダー、攻撃未遂、契約関係にあるサードパーティからの通知を監視していきます。
追加の情報が入りましたら、このページでお知らせします。Udemyのセキュリティチームは、セキュリティ専門家の推奨事項に随時従い、Udemyシステムの安全性を確保するよう努めています。そのため現在は、個別の対応を行っておりません。Udemyの対応に関する詳細は、以下のよくある質問を参照してください。
Spring Frameworkのより安全なバージョンにアップデートしましたか?
以前にSpring Framework、およびこれに関連する脆弱性のあるバージョンが使用されていた箇所については、推奨される新しいバージョンへのアップグレードや、ワークアラウンドの実行といった是正措置を慎重に講じてきました。また、Udemyのシステムをグローバルな規模で保護するため、多層防御も整備しました。
是正措置が完了するのはいつですか?
Udemyのセキュリティチームでは、Spring Frameworkの脆弱性による攻撃パターンが進化するなか、セキュリティ専門家やベンダーの推奨事項を常にチェックし、そのような推奨事項が共有され次第、是正措置や軽減措置を継続していきます。
顧客データの漏洩などはありましたか?
現時点において、この脆弱性が企業や個人のデータに悪影響を及ぼしたという指標はありません。
Spring Frameworkが与える影響について、Udemy環境で使用しているサードパーティのベンダーに確認していますか?
Udemyでは、すでにUdemy Businessの主要サブプロセッサーに連絡し、ベンダーがリリースするアップデートをツールに適用しました。