最近,安全研究人员发现了三个与 Spring Framework 相关的远程代码执行 (RCE) 漏洞(CVE-2022-22965、CVE-2022-22963、CVE-2022-22947)。 此外,Spring 还存在第四个具有中等危急程度的 DoS 漏洞 CVE-2022-22950。
自首次发现这些问题以来,Udemy 的安全团队一直在努力审查和保护 Udemy 的系统。目前,没有迹象表明这些漏洞对任何公司或个人数据产生了负面影响。
对于此类高风险、高影响的漏洞,我们的团队会立即采取一系列步骤,包括测试以确认漏洞级别、限制网络连接以及在必要时应用软件或系统更新或暂行解决办法。我们的安全和工程团队将监控我们的环境、关键次级处理者和供应商,以查明是否存在这些漏洞的实例、未遂攻击以及来自我们签约第三方的通知。
当我们获得更多信息时,我们将通过此页面提供更新。我们的安全团队正努力确保我们的系统随着安全研究人员建议的演化而受到保护,因此我们目前无法提供自定义响应。有关我们的响应方法的详细信息,请参阅下面的常见问题解答。
您是否已更新到更安全的 Spring Framework 版本?
在以前使用易受攻击的 Spring Framework 版本或相关产品的每种情况下,我们都进行了仔细的修复工作,例如升级到推荐的较新版本或实施推荐的暂行解决办法。我们还调整了我们的分层防御措施,以在全球范围内保护我们的系统。
什么时候可以完成修复?
随着 Spring Framework 漏洞攻击模式的发展,Udemy 的安全团队正在监控安全专家和供应商的建议,随着这些建议的共享,我们的修复和缓解工作将继续进行。
客户数据是否已泄露?
目前,没有迹象表明此漏洞对任何公司或个人数据产生了负面影响。
您是否向您的环境中使用的第三方供应商询问 Spring Framework 对他们的影响?
Udemy 已与主要的 Udemy Business 分包商取得联系,我们会在供应商发布更新时将更新应用于工具。