Bulletin de sécurité : Faille critique Spring 4 Shell

Carrières sur Seine - Mise à jour du | 8 avril 2022

Konica Minolta a été informé de deux vulnérabilités critiques avec le niveau de risque le plus élevé affectant certaines applications et certains services.



Les menaces sont les vulnérabilités d'exécution de code à distance Spring4Shell – Spring Core RCE (CVE-2022-22965) et Spring Cloud Function RCE (CVE-2022-22963).
 
CVE-2022-22965 (Spring4Shell) a été trouvé dans Spring Core Framework et a été observé et confirmé fin mars 2022. Spring Framework est un framework d'application open source, utilisé pour le développement d'applications basées sur Java, visant essentiellement à aider les développeurs à créer des applications plus rapidement. Si elle est exploitée, cette vulnérabilité peut permettre des attaques d'exécution de code à distance (RCE), mais elle semble à ce jour concerner des implémentations spécifiques de Spring Framework.
 
CVE-2022-22963 (Spring Cloud Function RCE) a également été observé et confirmé fin mars 2022 et affecte les versions 3.1.6, 3.2.2 et les versions antérieures non prises en charge de Spring Cloud Function. Lors de l'utilisation de la fonctionnalité de routage, il est possible pour un utilisateur de compromettre une expression de routage, pouvant entraîner l'exécution de code à distance et l'accès aux ressources locales.
 
Nous évaluons actuellement quelles versions des applications proposées par Konica Minolta sont affectées et si oui, comment remédier à la vulnérabilité.
 
A ce jour, les applications identifiées comme impactées par ces failles sont :
 
  • SafeQ 6
  • Dispatcher Paragon
 
Pour ces deux applications, des techniques de contournement, ou patchs sont à disposition pour corriger cette faille de sécurité.
 
 
Si vous utilisez une solution SafeQ 6 ou Dispatcher Paragon disposant d’un contrat de maintenance en cours de validé, nous vous invitons à contacter rapidement notre Service Desk via les canaux ci-dessous.
Lors de l’ouverture de votre demande, il sera impératif de nous communiquer la solution et version installée sur votre Serveur.
 
Service Desk Konica Minolta
Lundi au vendredi de 8h à 18h
0825 350 350 (18cts/min)
servicedesk@konicaminolta.fr

Pour plus d’informations sur cette faille et les applications impactées, consultez le communiqué officiel de Konica Minolta Europe : Critical Security Vulnerability Information | KONICA MINOLTA
 

Complétez le formulaire ci-dessous
pour plus d'informations