Oświadczenie dotyczące podatności zabezpieczeń Spring Framework

TP-Link jest świadomy podatności RCE CVE-2022-22965 w Spring Framework. Według oficjalnych informacji, warunki do wystąpienia tej luki są następujące:

• Spring Framework: 5.3.0 do 5.3.17, 5.2.0 do 5.2.19
  Starsze, niewspierane wersje są również podatne
• JDK 9 i wyższe
• Apache Tomcat jako kontener Servlet
• Paczkowanie jako WAR
• zależności spring-webmvc lub spring-webflux

W TP-Link, bezpieczeństwo klientów stoi na pierwszym miejscu. TP-Link monitoruje zagrożenie i przekaże nowe informacje jak tylko będą dostępne.

Potencjalnie zagrożone produkty TP-Link:

Omada Software Controller korzysta ze Spring Framework oraz obsługuje Java 8 (OpenJDK-8) od wersji 5.0 i wyższej. Jednakże jego zakres korzystania Spring Framework nie spełnia powyższych wymaganych warunków i nasze symulacje ataku zakończyły się niepowodzeniem.

Niemniej jednak, zalecamy zainstalowanie starszej wersji Java 8 (OpenJDK-8) aby korzystać z kontrolera. Więcej szczegółowych informacji można uzyskać w następującym, angielskojęzycznym artykule na naszej społeczności.

Sprzętowy kontroler Omada (OC200 v1/v2, OC300) i Omada Cloud-Based Controller korzystają z OpenJDK-8 i w związku z tym nie są zagrożone tą podatnością. TP-Link zaktualizuje wbudowany Spring Framework aby naprawić podatność w przyszłych wersjach oprogramowania.

Niezagrożone produkty TP-Link:

Wszystkie Routery bezprzewodowe

Wszystkie Urządzenia Mesh Wi-Fi (Deco)

Wszystkie Wzmacniacze sygnału

Wszystkie Transmitery sieciowe

Wszystkie produkty MiFi

Wszystkie Routery SMB, Przełączniki, Omada EAP i Pharos CPE

Wszystkie produkty VIGI

Aplikacje: Tether, Deco, Tapo, Kasa, tpMiFi, Omada

Wyłączenie

Podatność pozostanie jeśli nie podejmiesz zalecanych akcji. TP-Link nie ponosi odpowiedzialności za konsekwencje których można było uniknąć postepując zgodnie z zaleceniami tego oświadczenia.