Sécurité
Pages enfant
  • ESUP-2022-AVI-001 - CVE-2022-22965

Comparaison des versions

Ancienne version 4

changes.mady.by.user Vincent Bonamy

Sauvegardée le

comparé à

Nouvelle version 5

changes.mady.by.user Vincent Bonamy

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

...

Objet

CVE-2022-22965 vis à vis des applications ESUP

Référence

ESUP-2022-AVI-001

Date de la première version

1 avril décembre 2022

Date de la dernière version

1 avril décembre 2022

Source

CVE-2022-22965

Diffusion de cette version

Publique

Historique

  • 31 mars 2022 : réception de la faille https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement (Pascal Rigaux)
  • 31 mars 2022 : reproduction de l'exploit via des POC (Pascal Rigaux, David Lemaignent, Valentin HagneréHagnéré, Vincent Bonamy)
  • 31 mars 2022 :reproduction de l'exploit sur esup-dematec (Vincent Bonamy)
  • 1 avril 2022 : rédaction de l'avis (Pascal Rigaux, Vincent BonamyCoordination Technique)
  • 1 avril 2022 : envoi de l'avis de sécurité à securite@esup-portail.org

Planning prévisionnel

-

Pièces jointes

-

...

Potentiellement toutes les applications utilisant du spring-webmvc et déployées un Tomcat avec un jdk9 ou supérieur.

Ainsi des nouvelles versions sont proposées pour Apereo CAS et Shibboleth IdP.

...