Spring Frameworkバージョンアップ(Spring boot)

Spring Frameworkバージョンアップ(Spring boot)

Spring Frameworkの任意のコード実行の脆弱性(CVE-2022-22965)について

JPCERTでSpring Frameworkの脆弱性が見つかったのでバージョンアップしました。

対象

  • Spring Framework 5.3.0から5.3.17
  • Spring Framework 5.2.0から5.2.19

条件

  • JDK 9以上を使用している
  • Apache Tomcatをサーブレットコンテナーとして使用している
  • WAR形式でデプロイされている
  • プログラムがspring-webmvcあるいはspring-webfluxに依存している

対策

  • Spring Framework 5.3.18およびそれ以降にバージョンアップ
  • Spring Framework 5.2.20およびそれ以降にバージョンアップ

バージョンアップ

Spring bootとSpring Frameworkの対応表がありました。※パッチバージョンの記載はないようです。

Spring FrameworkとSpring Bootのいろんな対応表 - Qiita
備忘録として。Spring Framework対応Javaバージョンについてはレンジで書いているが、基本的にLTSリリース(8, 11, 17, 23, , ,)を使うことが推奨されている模様。2022年10月現在、LTSリリース周期を3年...
Spring boot Spring Framework
2.6.6 5.3.18
2.5.12 5.3.18
2.4.13 5.3.13
2.3.12.RELEASE 5.2.15.RELEASE
2.2.5.RELEASE 5.2.4.RELEASE

build.gradleのSpring bootのバージョンを変更して「Gradle Projectのリフレッシュ」を行います。

plugins {
  id 'org.springframework.boot' version '2.6.6' // ★
  id 'io.spring.dependency-management' version '1.0.11.RELEASE'
  id 'java'
}

dependencies {
  implementation 'org.springframework.boot:spring-boot-starter-web'
}

EclipseでSpring Frameworkバージョン確認方法

Gradleプロジェクトで、「プロジェクトと外部の依存関係」が表示されるので、その中にあるspring-aop、spring-beans、spring-coreなどはみなSpring Frameworkのjarです。
そのjarの右横に記載されているのがバージョンです。

※GradleWrapperが古い場合エラーとなる場合があるので、Wrapperのバージョンアップも必要なケースがあります

コメント

タイトルとURLをコピーしました