[2022/04/01 更新]

お客様各位

平素は弊社CDN(Akamai)をご利用いただきまして誠にありがとうございます。

[概要]
Spring FrameworkおよびSpring Cloud において深刻な脆弱性が発見された件につきまして続報をお伝えいたします。

現時点で判明しているアカマイの対応状況は以下の通りです。

アカマイのWebセキュリティサービス（※）をご利用いただいておりアカマイのWebアプリケーションファイアウォールを導入されているお客様におかれましては、既に対処するルールが展開されており保護されているか、あるいはカスタムルールにて対処することが可能です。

※ Web Application Protector（WAP）、Kona Site Defender（KSD）、およびApp＆API Protector（AAP）

すべてのWAPまたはKSDのお客様がAdaptive Security Engine（ASE）を展開されているとは限らないため、AAGおよびKRSについても記載いたします。

■ Spring Cloud CVE-2022-22963：
　　・ASEのお客様：コマンドインジェクションルール（3000041および3000156）によって保護されています。
　　・AAGのお客様：現在のコマンドインジェクション攻撃グループで保護されています
　　・KRSのお客様：カスタムルールを使用して悪用の試みを検出できます。

■ SpringCore (Spring4Shell) CVE-2022-22965：
　　・ASEのお客様：コマンドインジェクションによって保護されています（3000023-Apache Struts ClassLoader操作リモートコード実行）
　　・他のKSDルールセットもこの脆弱性を軽減します。
　　　　AAG：1000005-コマンドインジェクション
　　　　KRS：ルール3000023-ApacheStrutsClassLoader操作リモートコード実行


補足）
お客様の環境において本脆弱性の影響を受けるかどうかの確認方法につきまして

１）Spring Framework脆弱性 SpringCore (Spring4Shell) [CVE-2022-22965]
・JDK9以上のバージョンを使用しているか
・使用している場合、Spring Frameworkの利用有無（下記リンク参考）
https://www.cyberkendra.com/2022/03/springshell-rce-0-day-vulnerability.html

２）Spring Cloud脆弱性 [CVE-2022-22963]
Spring Cloud Function においてバージョン 3.2.2、3.1.6、あるいはそれ以前を使用しているか。
（脆弱性に対応したバージョン 3.2.3および3.1.7がすでにリリース済み）


<お問合せ先>

障害に関するお問い合わせ: trouble-j@ntt.net
CDN全般についてのお問い合わせ: cdn-query@ntt.com