Search icon Choose location
 
Search icon

Spring Framework RCE脆弱性に関して

セキュリティ
更新済み04-04-2022 02:10:57 AM 34923
対象製品: 

TP-Linkは、Spring FrameworkにおけるRCEの脆弱性CVE-2022-22965を認識しています。公式情報によると、本脆弱性の前提条件は以下の通りです。

  • Spring Frameworkを使用していること。5.3.0 から 5.3.17, 5.2.0 から 5.2.19, サポートされていない古いバージョンも影響を受けます。
  • JDK 9 以上
  • Apache Tomcatをサーブレットコンテナとして利用
  • WARとしてパッケージ化
  • spring-webmvcまたはspring-webfluxに依存

TP-Linkではセキュリティを第一に考えています。TP-Linkはこの脆弱性を注意深く監視・調査しており、より多くの情報が入手可能になり次第、このアドバイザリーを更新していきます。

影響を受ける可能性のあるTP-Link製品

Omada Software Controller は Spring Framework を使用しており、バージョン 5.0 以降は Java 8 (OpenJDK-8) 以上に対応しています。しかし、Spring Frameworkを使用しているため、上記の前提条件を満たしておらず、攻撃シミュレーション/脆弱性スキャンの結果、Failureとなりました。

しかしながら、脆弱性の性質がより一般的であることを考慮し、コントローラを動作させるためには、Java 8 (OpenJDK-8) にダウングレードすることを推奨します。より詳細なガイドについては、弊社コミュニティをご参照ください。

なお、Omada Hardware Controller (OC200 v1/v2, OC300) および Omada Cloud-Based Controller は OpenJDK-8 を使用しているため、本脆弱性の影響は受けません。TP-Linkでは、内蔵のSpring Frameworkをアップデートし、今後のアップデートで本脆弱性を修正する予定です。

影響を受けないTP-Link製品

全てのWi-Fiルーター

メッシュWi-Fi(Deco)全般

すべての中継器

すべてのPLCアダプタ

ポケットWi-Fi製品全般

すべてのSMBルータ、スイッチ、Omada EAP、およびPharos CPE

すべてのVIGI製品

アプリ: Tether、Deco、Tapo、Kasa、tpMiFi、Omada

免責事項

推奨されるすべての対処を行わない場合、脆弱性は残ります。TP-Linkは、この声明にある推奨事項に従うことで回避できたであろう結果について、いかなる責任も負いません。

このFAQは役に立ちましたか?

サイトの利便性向上にご協力ください。

おすすめ製品

From United States?

お住まいの地域の製品やイベント・サービスを確認する。

進む その他のオプション

本サイトではCookie(クッキー)を使用しています。引き続き本サイトを閲覧した場合、お客様がCookieの使用に同意したものとみなされます。今後表示しない 詳細.

本サイトではCookie(クッキー)を使用しています。引き続き本サイトを閲覧した場合、お客様がCookieの使用に同意したものとみなされます。今後表示しない 詳細.

Basic Cookies

These cookies are necessary for the website to function and cannot be deactivated in your systems.

TP-Link

accepted_local_switcher, tp_privacy_base, tp_privacy_marketing, tp_smb-select-product_scence, tp_smb-select-product_scenceSimple, tp_smb-select-product_userChoice, tp_smb-select-product_userChoiceSimple, tp_smb-select-product_userInfo, tp_smb-select-product_userInfoSimple, tp_top-banner, tp_popup-bottom, tp_popup-center, tp_popup-right-middle, tp_popup-right-bottom, tp_productCategoryType

Livechat

__livechat, __lc2_cid, __lc2_cst, __lc_cid, __lc_cst, CASID

YouTube

id, VISITOR_INFO1_LIVE, LOGIN_INFO, SIDCC, SAPISID, APISID, SSID, SID, YSC, __Secure-1PSID, __Secure-1PAPISID, __Secure-1PSIDCC, __Secure-3PSID, __Secure-3PAPISID, __Secure-3PSIDCC, 1P_JAR, AEC, NID, OTZ

Analysis and Marketing Cookies

Analysis cookies enable us to analyze your activities on our website in order to improve and adapt the functionality of our website.

The marketing cookies can be set through our website by our advertising partners in order to create a profile of your interests and to show you relevant advertisements on other websites.

Google Analytics & Google Tag Manager

_gid, _ga_<container-id>, _ga, _gat_gtag_<container-id>

Google Ads & DoubleClick

test_cookie, _gcl_au

Facebook

_fbp

Crazy Egg

cebsp_, _ce.s, _ce.clock_data, _ce.clock_event, cebs

Hotjar

OptanonConsent, _sctr, _cs_s, _hjFirstSeen, _hjAbsoluteSessionInProgress, _hjSessionUser_14, _fbp, ajs_anonymous_id, _hjSessionUser_<hotjar-id>, _uetsid, _schn, _uetvid, NEXT_LOCALE, _hjSession_14, _hjid, _cs_c, _scid, _hjAbsoluteSessionInProgress, _cs_id, _gcl_au, _ga, _gid, _hjIncludedInPageviewSample, _hjSession_<hotjar-id>, _hjIncludedInSessionSample_<hotjar-id>

LinkedIn

lidc, AnalyticsSyncHistory, UserMatchHistory, bcookie, li_sugr, ln_or