Spring4Shell (CVE-2022–22965)のPaperCutへの影響について

SpringFramework(PaperCut Plus/MF Ver.20.0.0以降で使用されている
サードパーティフレームワーク)に影響を及ぼす重大な脆弱性は、2022年3月30日に公開されました。
この脆弱性は一般的にSpring4Shell または SpringShell と呼ばれています。
詳細はSpringのブログ(https://tanzu.vmware.com/security/cve-2022-22965) をご参照ください。
Spring FrameworkのRCE(リモートコード実行)について言及されています。

Sprintのブログ記事で説明されている概念実証(POC) エクスプロイトには、Apache Tomcatが必要です。

PaperCut社の製品はSpring Frameworkを使用していますが、Tomcatは使用していません。
(Apache Jettyは使用しています。)
しかし、弊社ではサードパーティ製品に悪用されるのは時間の問題と考えています。
このような事態を避けるため、積極的にメンテナンス・リリースを実施しました。

 

注記: この脆弱性はPaperCut Plus/MF Ver.19.2.7, 20.1.6, 21.2.10 で修正されています。また、この修正は近日リリース予定のVer.22.0.0に含まれる予定です。

PaperCut製品の影響状況

製品	影響	バージョン	推奨事項
PaperCut Plus/MFの アプリケーション・サーバ、 サイト・サーバ	有	20.x.0以降	アプリケーション・サーバとサイト・サーバを アップグレードする - 20.1.6 (Ver.20.xを使用している場合) - 21.2.10(Ver.21.xを使用している場合)
PaperCut Plus/MFの アプリケーション・サーバ、 サイト・サーバ	無	19.x 以前	Spring4Shell の影響はありません。 ただし、Ver.19.2.1以降を使用している場合、別のセキュリティ問題である脆弱性報告があるため、バージョンアップすることを推奨します。詳細は「PaperCut MF/Plux RCE (PC-18750)」を参照してください。
PaperCut Hive PaperCut Pocket プリンタ展開 モビリティ・プリント クライアント・ソフトウェア	無	すべて	Spring4Shell の影響はありません。

FAQ

Q． この修正を適用することで何か影響はありますか?

A． これらのメンテナンス版はRhinoのJavaScriptエンジンのアップグレード版が含まれています。
　　この結果、プリント・スクリプトはデフォルトでサンドボックス化されるようになりました。
　　その他の機能に関しては影響はありません。

Q． アップグレード版のインストーラの入手方法は?

A． アップグレード版が必要な場合、販売店もしくはCOSY社までお問合せください。
　　アップグレード手順は通常のアップグレード手順と同じです。

Q． Sprint4ShellのCVSSスコアを教えてください。

A． Sprint Frameworkで重大な脆弱性(CVSS V3.0 Score 9.8, AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) が発見されました。
　　しかし、この記事の冒頭で説明したSpringのブログ記事で解説されているPOC（Proof of Concept）エクスプロイトするは、
　　Apache Tomcatが必要です。
　　PaperCut製品はSpring Frameworkを使用していますがTomcatはしていません。
　　(PaperCut Plus/MFはApache Jettyを使用しています。)

Q． Sprint Frameworkの最新版の修正内容は含まれていますか?

A． いいえ。
　　　・ MF/NG version 19.2.7 uses Spring version 4.3.25
　　　・ MF/NG version 20.1.6 uses Spring version 4.3.29
　　　・ MF/NG version 21.2.10 uses Spring version 4.3.30

　　Springはこの悪用に対する修正を含むアップデート(Ver.5.3.18および5.2.20)をリリースしていますが、
　　新しいバージョンへの移行は複雑なため、Frameworkはすぐにアップグレードすることができません。
　　弊社はSpringの推奨回避策を実施応しました。
　　この修正は上記のメンテナンス・リリースに含まれます。今後のリリースで、Springのパッチ付きバージョンへアップグレードする計画があります。

Q． アップグレードを実施しない場合の対応策はありますか？

A． いいえ。現時点では手動設定や変更はできません。最新のメンテナンス版をインストールすることをお勧めします。

Q． これらのビルドはどのバージョンのlog4jを使用していますか?

A．
　　　・ 19.2.7: log4j 1.x を使用 (影響無し)
　　　・ 20.1.6: log4j 1.x を使用 (影響なし)
　　　・ 21.2.10: log4j 2.17.1 を使用 (修正版)

　　Log4Shellの脆弱性の影響については「Log4Shell(CVE-2021-44228)のPaperCutへの影響について」を参照してください。

Q． PaperCut Ver.18.x 以前のメンテナンス版のリリースはありますか?

A． ありません。PaperCut Ver.19.x以降のメンテナンス版にバージョンアップしてください。

Q． PaperCutはCVE-2022-22950 の影響はありますか?

A． 影響があります。PaperCut Plus/MFはSpring Frameworkのバージョン4.3.x を使用しているため、CVE-2022-22950の影響を受けます。

　　この脆弱性はVer.21.2.10では解消されていません。
　　現在PaperCut社ではSpring Frameworkのバージョン5.3.19 以上へのアップデートを進めています。

参考サイト(英語)

・ https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

・ https://tanzu.vmware.com/security/cve-2022-22965

------------------------------------

https://www.papercut.com/kb/Main/Spring4Shell