Déclaration sur la vulnérabilité RCE de Spring Framework

Avis de Sécurité
Mis à jour04-07-2022 14:59:04 PM 39425
Ce document concerne les modèles suivants : 

TP-Link est conscient de la vulnérabilité RCE CVE-2022-22965 dans Spring Framework. Selon les informations officielles, les conditions préalables à cette vulnérabilité sont les suivantes.

  • Spring Framework : 5.3.0 à 5.3.17, 5.2.0 à 5.2.19, les anciennes versions non prises en charge sont également affectées
  • JDK 9 ou supérieur
  • Apache Tomcat comme conteneur de servlet
  • Emballé comme WAR
  • dépendance spring-webmvc ou spring-webflux

Chez TP-Link, la sécurité du client passe avant tout. TP-Link surveille de près et enquête sur la vulnérabilité et continuera à mettre à jour cet avis au fur et à mesure que de plus amples informations seront disponibles.

Produits TP-Link potentiellement concernés :

DPMS (DeltaStream PON Management System) utilise le Spring Framework et prend en charge Java 8 (OpenJDK-8) et supérieur depuis la version 5.0. Cependant, son utilisation du Spring Framework ne répond pas aux conditions préalables ci-dessus et notre analyse de simulation d'attaque/vulnérabilité aboutit à un échec.

Néanmoins, étant donné que la nature de la vulnérabilité est plus générale, nous vous recommandons de rétrograder vers Java 8 (OpenJDK-8) pour exécuter DPMS. TP-Link mettra à jour le Spring Framework intégré pour corriger la vulnérabilité dans les mises à jour ultérieures.

Produits TP-Link non concernés :

Tous les routeurs Wi-Fi

WiFi Mesh (Deco)

Tous les répéteurs WiFi

Tous les adaptateurs CPL

Tous les produits WiFi mobiles

Tous les routeurs SMB, Switches, Omada EAP et Pharos CPE

Tous les produits VIGI

Tous les produits GPON

APP: Tether, Deco, Tapo, Kasa, tpMiFi, Omada

Avertissement

La vulnérabilité demeurera si vous ne prenez pas toutes les mesures recommandées. TP-Link ne peut assumer aucune responsabilité pour les conséquences qui auraient pu être évitées en suivant les recommandations de cette déclaration.

Est-ce que ce FAQ a été utile ?

Vos commentaires nous aideront à améliorer ce site.

De United States?

Infos produits, événements, services pour votre pays.