追記
Spring Framework 本家から記事が出てました。
— Spring Framework (@springframework) 2022年3月31日
概要
ちょっと前に Java 界隈で log4j のゼロデイ (通称 Log4Shell) が出て大騒ぎになっていましたが 、今度は Spring の方にもRCEできる脆弱性がリークされましたね。
これ、log4shell より危ないんじゃないかしら。。。
下の記事より一部引用。
If the version number is less than or equal to 8, it is not affected by the vulnerability.
JDK 9以降が対象みたいですね。JDK 8 の場合は対象外とのこと。
とりあえず、情報リソースメモメモ。。
spring4shell の PoC のコード読んで来てだいたい把握。危ないねぇ。
— mattn (@mattn_jp) 2022年3月31日
過去の記事については、以下のページからご参照下さい。
サンプルコードは、以下の場所で公開しています。