Spring Frameworkバージョンアップ(Spring boot)

Spring Frameworkバージョンアップ(Spring boot)

Spring Frameworkの任意のコード実行の脆弱性(CVE-2022-22965)について

JPCERTでSpring Frameworkの脆弱性が見つかったのでバージョンアップしました。

対象

  • Spring Framework 5.3.0から5.3.17
  • Spring Framework 5.2.0から5.2.19

条件

  • JDK 9以上を使用している
  • Apache Tomcatをサーブレットコンテナーとして使用している
  • WAR形式でデプロイされている
  • プログラムがspring-webmvcあるいはspring-webfluxに依存している

対策

  • Spring Framework 5.3.18およびそれ以降にバージョンアップ
  • Spring Framework 5.2.20およびそれ以降にバージョンアップ

バージョンアップ

Spring bootとSpring Frameworkの対応表がありました。※パッチバージョンの記載はないようです。

Spring FrameworkとSpring Bootのいろんな対応表 - Qiita
備忘録として。 Spring Framework バージョン GA 対応Javaバージョン 4.3 2016年1月 6~8 5.0 2017年9月 8~10 5.1 2018年9月 8~12 5.2 2...
Spring bootSpring Framework
2.6.65.3.18
2.5.125.3.18
2.4.135.3.13
2.3.12.RELEASE5.2.15.RELEASE
2.2.5.RELEASE5.2.4.RELEASE

build.gradleのSpring bootのバージョンを変更して「Gradle Projectのリフレッシュ」を行います。

plugins {
  id 'org.springframework.boot' version '2.6.6' // ★
  id 'io.spring.dependency-management' version '1.0.11.RELEASE'
  id 'java'
}

dependencies {
  implementation 'org.springframework.boot:spring-boot-starter-web'
}

EclipseでSpring Frameworkバージョン確認方法

Gradleプロジェクトで、「プロジェクトと外部の依存関係」が表示されるので、その中にあるspring-aop、spring-beans、spring-coreなどはみなSpring Frameworkのjarです。
そのjarの右横に記載されているのがバージョンです。

※GradleWrapperが古い場合エラーとなる場合があるので、Wrapperのバージョンアップも必要なケースがあります

コメント

タイトルとURLをコピーしました