Respuesta de Microsoft a CVE-2022-22965 Spring Framework – Centro de respuestas de seguridad de Microsoft

Resumen

Microsoft usó el Spring Framework RCE, anuncio anticipado para informar el análisis de la vulnerabilidad de ejecución remota de código, CVE-2022-22965divulgado el 31 de marzo de 2022. Hasta la fecha, no hemos observado ningún impacto en la seguridad de nuestros servicios empresariales y no hemos experimentado ninguna disponibilidad degradada del servicio debido a esta vulnerabilidad.

Los equipos de seguridad de Microsoft continúan analizando nuestros productos y servicios para identificar cualquier instancia de CVE-2022-22965 en Spring Framework. Si se descubren instancias vulnerables, actualizaremos o mitigaremos según la guía más reciente de Spring.

Orientación específica del producto

Cuando se identifique un riesgo o vulnerabilidad que requiera acciones adicionales del cliente, se notificará a los clientes afectados en consecuencia.

Los clientes deben analizar las aplicaciones que administran y actualizar o mitigar en función de la última guía de Spring.

Para los sistemas operativos, el software y las aplicaciones que implementa en los servicios de Microsoft, usted es responsable de las actualizaciones y los parches de seguridad.

Consulte la información de Actualización de seguridad para su servicio de Microsoft para obtener más información sobre cómo el servicio administra las actualizaciones de computer software y los parches de seguridad.

Se alienta a los clientes a aplicar las actualizaciones de Spring Framework lo más rápido posible.

Seguiremos actualizando esta guía a medida que sigamos aprendiendo de nuestra investigación.

El equipo MSRC

Revisión histórica:
05/04/2022 – Publicación inicial.



Fuente del articulo