VertiGIS utilise cette page pour fournir des informations sur la vulnérabilité critique CVE-2022-22965, connue sous le nom de Spring4Shell, qui a été révélée le 31 mars 2022, et ses conséquences dans le contexte de WebOffice.
Cet article sera mis à jour dès que de nouvelles informations seront disponibles.
VertiGIS étudie actuellement les conséquences de la faille de sécurité CVE-2022-22965 en ce qui concerne l'application WebOffice et les composants associés avec une haute priorité et informe par la présente de l'état actuel :
Technologie de base ArcGIS
En ce qui concerne la technologie de base ArcGIS, VertiGIS recommande l'article officiel d'Esri Inc :
Spring Framework RCE Vulnerabilities (esri.com)
Servlet Engine Apache Tomcat
Concernant le moteur de servlets Apache Tomcat, VertiGIS recommande une mise à jour vers la dernière version d'Apache Tomcat 9, version 9.0.62 ou supérieure.
Plus d'informations à ce sujet peuvent être lues ici :
Spring Framework RCE, Mitigation Alternative
Page des téléchargements de la dernière version d'Apache Tomcat :
Apache Tomcat® - Apache Tomcat 9 Software Downloads
Pour plus de détails sur l'installation d'Apache Tomcat dans le contexte WebOffice, voir le manuel :
Apache Tomcat Installation (vertigis.com)
Serveur d'application WebOffice
Pour que la faille puisse être exploitée, Spring4Shell doit être présent dans une version non louée à la fois dans le moteur de servlet Tomcat et dans WebOffice. Ainsi, si un seul composant est mis à jour, la faille de sécurité est comblée. VertiGIS recommande néanmoins une mise à jour de Tomcat.
172798 : Général : mise à jour vers Spring Framework v5.3.18 pour corriger la vulnérabilité critique CVE-2022-22965 - connue sous le nom de Spring4Shell ; il est également fortement recommandé de mettre à jour Apache Tomcat - voir l'article correspondant.
WebOffice Volltextsuche (FTS-Index)
En ce qui concerne la recherche plein texte de WebOffice (index FTS), la déclaration d'Apache Solr est la suivante : le moteur utilise Solr 8.11.1 (basé sur Java), mais il n'y a pas de dépendance au framework Spring. Par conséquent, aucune mise à jour n'est nécessaire ici.
Veuillez suivre cet article pour être informé de l'état actuel des connaissances.
Pour plus d'informations sur les autres produits VertiGIS, cliquez ici :
Informations sur la vulnérabilité Spring4Shell CVE-2022-22965
Mise à jour 1 - 04.04.2022, 14:00 :
- Section Technologie de base ArcGIS
- Informations récentes ajoutées
- Section Recherche plein texte (index FTS)
- Informations récentes ajoutées
Commentaires
0 commentaire
Vous devez vous connecter pour laisser un commentaire.