Oświadczenie dotyczące podatności zabezpieczeń Spring Framework

Doradztwo bezpieczeństwa
Zaktualizowano w dniu 04-06-2022 09:16:57 AM 40916
Ten artykuł dotyczy: 

TP-Link jest świadomy podatności RCE CVE-2022-22965 w Spring Framework. Według oficjalnych informacji, warunki do wystąpienia tej luki są następujące:

  • Spring Framework: 5.3.0 do 5.3.17, 5.2.0 do 5.2.19
    Starsze, niewspierane wersje są również podatne
  • JDK 9 i wyższe
  • Apache Tomcat jako kontener Servlet
  • Paczkowanie jako WAR
  • zależności spring-webmvc lub spring-webflux

W TP-Link, bezpieczeństwo klientów stoi na pierwszym miejscu. TP-Link monitoruje zagrożenie i przekaże nowe informacje jak tylko będą dostępne.

Potencjalnie zagrożone produkty TP-Link:

DPMS (DeltaStream PON Management System) korzysta ze Spring Framework oraz obsługuje Java 8 (OpenJDK-8) od wersji 5.0 i wyższej. Jednakże jego zakres korzystania Spring Framework nie spełnia powyższych wymaganych warunków i nasze symulacje ataku zakończyły się niepowodzeniem.

Niemniej jednak, zalecamy zainstalowanie starszej wersji Java 8 (OpenJDK-8) aby korzystać z DPMS. TP-Link zaktualizuje wbudowany Spring Framework aby naprawić podatność w przyszłych wersjach oprogramowania.

Niezagrożone produkty TP-Link:

Wszystkie Routery bezprzewodowe

Wszystkie Urządzenia Mesh Wi-Fi (Deco)

Wszystkie Wzmacniacze sygnału

Wszystkie Transmitery sieciowe

Wszystkie produkty MiFi

Wszystkie Routery SMB, Przełączniki, Omada EAP i Pharos CPE

Wszystkie produkty VIGI

Aplikacje: Tether, Deco, Tapo, Kasa, tpMiFi, Omada

Wyłączenie

Podatność pozostanie jeśli nie podejmiesz zalecanych akcji. TP-Link nie ponosi odpowiedzialności za konsekwencje których można było uniknąć postepując zgodnie z zaleceniami tego oświadczenia.

Czy ten poradnik FAQ był pomocny?

Twoja opinia pozwoli nam udoskonalić tę stronę.

z United States?

Uzyskaj produkty, wydarzenia i usługi przeznaczone dla Twojego regionu.