Recentemente, pesquisadores de segurança identificaram três vulnerabilidades de execução remota de código (RCE) relacionadas ao Spring Framework (CVE-2022-22965, CVE-2022-22963, CVE-2022-22947). Além disso, existe uma quarta vulnerabilidade DoS com Spring que tem um nível de criticidade médio, CVE-2022-22950.
Desde que esses problemas foram descobertos, a equipe de segurança da Udemy tem trabalhado diligentemente para revisar e proteger os sistemas da Udemy. Neste ponto, não há indicadores de que essas vulnerabilidades afetaram negativamente qualquer empresa ou dados pessoais.
Para vulnerabilidades de alto risco e alto impacto, como essas, nossas equipes realizam diversas ações imediatas, incluindo testes para confirmar os níveis de vulnerabilidade, restringir as conexões de rede e aplicar atualizações de software ou sistema, ou soluções alternativas quando necessário. Nossas equipes de segurança e engenharia vão monitorar nosso ambiente, subprocessadores críticos e fornecedores quanto a instâncias dessas vulnerabilidades, tentativas de ataques e avisos de nossos terceiros contratados.
Conforme obtivermos novas informações, vamos disponibilizar atualizações nesta página.Nossa equipe de segurança está trabalhando diligentemente para garantir que os sistemas estejam protegidos conforme as recomendações dos pesquisadores de segurança evoluírem, então não é possível fornecer respostas personalizadas no momento. Para ver informações detalhadas sobre nossa abordagem de resposta, consulte as perguntas frequentes abaixo.
Vocês já atualizaram para uma versão mais segura do Spring Framework?
Em cada caso onde as versões vulneráveis do Spring Framework ou ofertas relacionadas estavam em uso, tomamos certos esforços cuidadosos de remediação, tal como atualizar para uma versão mais nova recomendada ou implementar alternativas recomendadas. Também ajustamos nossas camadas de defesa para proteger nossos sistemas de maneira global.
Quando a remediação estará concluída?
A equipe de segurança da Udemy está monitorando as recomendações de especialistas em segurança e fornecedores conforme os padrões de ataque da vulnerabilidade do Spring Framework evoluem, e nossos esforços de mitigação e remediação continuarão conforme essas recomendações são compartilhadas.
Os dados dos clientes foram comprometidos?
Neste ponto, não há indicadores de que essa vulnerabilidade afetou negativamente qualquer empresa ou dados pessoais.
Vocês estão questionando fornecedores terceirizados usados no seu ambiente sobre o impacto do Spring Framework?
A Udemy entrou em contato com os principais subprocessadores da Udemy Business e aplica atualizações às ferramentas conforme nossos fornecedores as liberam.