WhiteSource会被Spring4Shell漏洞CVE

　　在2022年3月31日，一个新的、严重的关键Spring框架漏洞被披露，此漏洞发布编号为CVE202222965，同时CVSS评分为9。8。
　　根据我们的应用程序安全计划，WhiteSource安全专家和工程团队识别并修复了所有出现的此漏洞。作为预防措施的另一个步骤，WhiteSource在我们的云环境中使用Web应用程序防火墙。
　　请注意，我们的内部影响分析得出的结论是，此CVE对WhiteSource应用程序没有重大影响。我们还想重申WhiteSource应用程序的CVE详细信息是最新的，并鼓励我们的客户使用WhiteSource扫描他们的代码，以辨别他们的代码是否受到此漏洞的影响。
　　什么是CVE202222965？
　　根据这里Spring的官方公告，目前对CVE202222965的描述如下：在JDK9上运行的SpringMVC或SpringWebFlux应用程序可能容易受到通过数据绑定的远程代码执行（RCE）的攻击。具体的利用需要应用程序作为WAR部署在Tomcat上运行。如果应用程序部署为SpringBoot可执行jar，即默认值，则它不易受到攻击。但是，该漏洞的性质更为普遍，可能还有其他方法可以利用它。
　　这些是利用的先决条件：
　　JDK9或更高版本
　　ApacheTomcat作为Servlet容器
　　打包为WAR
　　哪些特定的库和依赖项容易受到攻击？springwebmvc和springwebflux依赖Spring框架：5。3。0至5。3。175。2。0至5。2。19旧的、不受支持的版本也会受到影响
　　WhiteSource产品是否容易受到CVE202222965的攻击？
　　WhiteSourceProduct
　　VulnerabletoCVE202222965？
　　UnifiedAgent
　　No
　　K8SAgent
　　No
　　AVMAgent
　　No
　　FortifyParser
　　No
　　Essentials
　　No
　　WhiteSourceCore（UIandDedicatedInstances）
　　No
　　ArtifactoryPlugin
　　Hotfix22。3。1。1已发布，请联系WhiteSource中国合作伙伴【龙智】获取
　　Bolt4AzureServer
　　No
　　AMPServer
　　No
　　JenkinsPlugin
　　No
　　Renovate
　　No
　　JiraCloudPlugin
　　No
　　JiraServerPlugin
　　Hotfix22。3。1。1已发布。请通过您的管理应用页面更新到此最新版本，或通过AtlassianMarketplace安装。
　　WSCLI
　　No
　　WhiteSourceDiffend
　　No
　　IDEPlugins（Advise）
　　No
　　DeveloperIntegrations（SCMintegrations）（HostedSelfHosted）
　　No
　　OnPremise（DockerizedandnonDockerized）
　　No
　　以下是经常会被问的问题：
　　Q：WhiteSource针对我自己的产品修复CVE202222965的建议措施是什么？
　　A：请参阅以下步骤，了解我们解决此漏洞的建议：运行组织范围的库存报告。如果您需要多组织报告或拥有超过1000种产品，我们建议使用WhiteSource批量报告生成器工具来简化报告生成。我们还创建了免费的Spring4Shell检测工具，它可以快速扫描您的项目以找到易受攻击的Spring4shell版本在清单报告中搜索具有引用漏洞实例的库，以识别受影响的应用程序联系相关团队并提醒他们紧急升级修复以下是不同的相关修复：受影响版本的用户应应用必要的缓解和或补救措施：MitigationRecommendations（缓解建议）：Spring4ShellZeroDayVulnerability：InformationandRemediationforCVE202222965RemediationRecommendations（修复建议）：WhiteSourceVulnerabilityDatabase
　　注意：如果您使用Renovate运行WhiteSourceEnterprise，它将识别并推荐使用最新版本的顶级受影响软件包的拉取请求。
　　有关该漏洞的进一步更新将在我们的博客Spring4ShellZeroDayVulnerability：InformationandRemediationforCVE202222965。如有问题和进一步支持，请联系WhiteSource授权合作伙伴龙智。
　　Q：我需要重新扫描我的项目以检测此漏洞吗？
　　A：不，WhiteSource会在我们的索引中一直保持最新的漏洞列表，并且在我们将此漏洞添加到列表后会有关于此漏洞的警报。
　　Q：当我的项目中引入这种严重的漏洞时，WhiteSource如何提醒我？
　　A：如果您的组织设置了策略，那么WhiteSource会在您受到此漏洞影响的情况下自动通知您。如果您没有进行该设置，则可以查看CVE的警报报告。
　　Q：如何判断此漏洞是否存在于我的传递依赖项之一中？
　　A：我们的清单报告、漏洞报告和警报报告都将提供关键信息，以检索您在确定缓解此漏洞的后续步骤所需的所有必要信息。要拿到此报告，您可以使用UI或我们的报告API。
　　原文链接：https：www。shdsd。comnews346index。html