Despre vulnerabilitatea Spring Framework RCE

Security Advisory
Updated 04-13-2022 12:04:33 PM 30618
Acest ghid este valabil pentru: 

TP-Link este conștient de vulnerabilitatea RCE CVE-2022-22965 din cadrul Spring Framework. Potrivit informațiilor oficiale, condițiile preliminare pentru această vulnerabilitate sunt următoarele:

  • Spring Framework: versiunile de la 5.3.0 la 5.3.17, 5.2.0 la 5.2.19 sau versiuni mai vechi; versiunile unsupported sunt și ele afectate
  • JDK 9 sau mai recent
  • Apache Tomcat ca și Servlet container
  • Packaged ca și WAR
  • spring-webmvc sau spring-webflux dependency

 

La TP-Link, securitatea clienților noștri este prioritatea principală. TP-Link monitorizează și investighează această vulnerabilitate și vom actualiza această pagină atunci când vor exista informații noi despre subiect.

 

Produse TP-Link care ar putea fi afectate:

Omada Software Controller folosește Spring Framework și suportă Java 8 (OpenJDK-8) și versiunile mai recente, începând cu versiunea 5 a controlerului. Totuși, folosirea Spring Framework de către Controlerul Omada nu întrunește condițiile enumerate mai sus, iar în cadrul testelor noastre, în care am simulat atacuri față de vulnerabilitatea în cauză, nu am reușit să spargem securitatea framework-ului.

Cu toate acestea, dată fiind natura generală a acestei vulnerabilități, îți recomandăm să faci un downgrade la Java 8 (OpenJDK-8) pentru folosirea în mai multă siguranță a controlerului. Pentru alte ghiduri mai detaliate, te rugăm să vizitezi comunitatea noastră.

Atât Omada Hardware Controller (OC200 v1/v2, OC300), cât și Omada Cloud-Based Controller folosesc OpenJDK-8, fiind astfel neafectate de această vulnerabilitate. TP-Link va actualiza Spring Framework-ul integrat în actualizări viitoare, pentru a soluționa această vulnerabilitate.

 

Produse TP-Link care nu sunt afectate:

  • Toate routerele Wi-Fi
  • Toate dispozitivele Mesh Wi-Fi (Deco)
  • Toate Range extenderele
  • Toate adaptoarele Powerline
  • Toate produsele Mobile Wi-Fi
  • Toate routerele SMB, Switch-urile, EAP-urile Omada EAP și CPE-urile Pharos
  • Toate produsele VIGI
  • Aplicațiile: Tether, Deco, Tapo, Kasa, tpMiFi, Omada

 

Notă importantă: Această vulnerabilitate va persista dacă nu iei toate măsurile recomandate. TP-Link nu se face responsabil de consecințele ulterioare care ar fi putut fi prevenite prin urmarea recomandărilor prezente aici.

Acest ghid a fost util?

Părerea ta ajută la îmbunătățirea acestui site.

From United States?

Get products, events and services for your region.