Spring框架中发现了一个远程代码执行漏洞。
此漏洞被识别为cve - 2022 - 22965.
春天早早就正式做出了反应提前声明.
Jenkins核心和插件中的S必威国际有限公司pringShell
Jenk必威国际有限公司ins安全团队已经确认Spring漏洞没有影响Jenkins Core。没有影响,因为我们正在使用订书机它既不是Spring MVC,也不是Spring WebFlux。
对插件进行了分析,以确定其中一些插件是否在以一种危险的方式使用Spring。没有发现任何影响。
的依赖项包含危险库spring-security-web,该版本尚未更新为包含固定版本。 Spring Framework的存在还不足以使应用程序变得脆弱。 |
Jenkins基础设施中的Spring必威国际有限公司Shell
Jenk必威国际有限公司ins基础设施和安全团队已经证实,Spring漏洞没有影响Jenkins基础设施的任何部分。
以下应用程序是将Spring作为依赖项的Java应用程序:
web服务customize.必威国际有限公司jenkins.io被叫停是出于谨慎考虑。
web服务的APIplugins.必威国际有限公司jenkins.io不受影响,因为它运行在JDK 8和GlassFish servlet。
web服务accounts.必威国际有限公司jenkins.io不受影响,因为它也运行在JDK 8和使用订书机为一个servlet。
如果发现其他漏洞,我们可能会决定禁用某些服务。您可以看到服务的状态状态页在status.jenkins.io必威国际有限公司. |