...
Objet | CVE-2022-22965 vis à vis des applications ESUP |
Référence | ESUP-2022-AVI-001 |
Date de la première version | 1 avril 2022 |
Date de la dernière version | 1 avril 2022 |
Source | CVE-2022-22965 |
Diffusion de cette version | Publique |
Historique |
|
Planning prévisionnel | - |
Pièces jointes | - |
...
Pour les applications ESUP, de nouvelles versions sont également disponibles pour esup-sgc, esup-nfc-tag, esup-emargement, esup-papercut, esup-pay, esup-signature, ecandidat, esup-mdw (Esup MonDossierWeb), ...
Applications non concernées
- bbb : à priori pas vulnérable et utilise un tomcat embedded
- esup-smsu : utilise spring-webmvc mais utilise @RequestBody qui ne semble pas être affecté par la faille
ecandidat, fwa, esup-mdw : référencent spring-webmvc mais ne semblent pas l'utiliserl'utilisent que pour proposer des méthodes/controller sans mapping d'objet ; ne proposant donc pas d'url permettant d'exploiter la faille
grouper, pstage : n'utilisent pas spring-webmvc
EsupUserApps, ProlongationENT, Ametys, Nuxeo : n'utilisent pas Spring
- ... et toutes les applications non java
Dans tous les cas, il est préférable de disposer de briques à jour, notamment vis-à-vis de cette faille :
- des serveurs d'application tomcat à jour (fermant la vulnérabilité connue)
- des applications proposant des librairies spring à jour (fermant la vulnérabilité connue)
Liens
Blog Spring.io du 31 mars 2022 https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
CVE-2022-22965 de VMware https://tanzu.vmware.com/security/cve-2022-22965
CVE-2022-22965 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22965
CERTFR-2021-ALE-022 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-297/
...