First Published: May 4, 2022

このドキュメントでは、Cisco Crosswork 製品の Spring4Shell 脆弱性(CVE-2022-22965)を解決するためのパッチリリースに関する情報を提供します。

概要

問題の要約

Spring4Shell の脆弱性は、データバインディングを介したリモートコード実行(RCE)に対して脆弱である可能性のある JDK 9+ で実行されている Spring MVC または Spring WebFlux アプリケーションに影響します。特定のエクスプロイトでは、WAR 展開として Tomcat 上でアプリケーションを実行する必要があります。アプリケーションが Spring Boot 実行可能 jar(たとえば、デフォルト)として展開されている場合、エクスプロイトに対して脆弱ではありません。ただし、その脆弱性の性質はより一般的であり、他の方法でエクスプロイトされる可能性があります。

  • CVE-2022-22965:JDK 9+ の脆弱性に対するデータバインディングを介したSpring Framework RCE。

解像度

影響を受けるすべてのマイクロサービスは、Spring Framework バージョン 5.3.18 または 5.2.20 にアップグレードされます。サポートされていない Spring Framework バージョンを使用して Tomcat で実行されている古いアプリケーションの場合、Apache Tomcat は、非承認のフィールド設定に伴いバージョン 10.0.20、9.0.62、または 8.5.78 にアップグレードされます。

Cisco Crosswork 製品のパッチリリースバージョン

パッチファイル(.tar.gz)は、Cisco Software Download [英語] ページから入手できます。

表 1. パッチリリース

Cisco Crosswork 製品

修正済みの新しいリリース

不具合 ID

Crosswork Infrastructure

4.0.2

4.1.3

 CSCwb57249

Crosswork Network Controller

2.0.2

3.0.2

 CSCwb43703

Crosswork 最適化エンジン

2.1.1

3.1.1

 CSCwb43709

Cisco Crosswork Change Automation and Health Insights

Crosswork Infrastructure のパッチのみが必要です

適用対象外

Cisco Network Services Orchestrator

5.4.6

5.5.5

適用対象外

Crosswork ゼロタッチプロビジョニング

2.0.2

3.0.2

 CSCwb43706

Crosswork Data Gateway

Crosswork Data Gateway には攻撃ベクトルはありません。リリースされたバージョンを使用します。

適用対象外

(注)  

VPN プロファイルを削除すると、Crosswork Network Controller のサービスプロビジョニング UI フォームから再作成することはできません。UI から再作成しようとすると、「構成の変更が検出されませんでした(No Configuration Change Detected)」というメッセージが表示されて失敗します。このバグは、Crosswork Network Controller 3.0.2 UI の VPN プロファイル(/l3vpn-ntw:l3vpn-ntw/vpn-profiles/valid-provider-identifiers/routing-profile-identifier)のみに固有のものです。

この問題に対処するには、次のいずれかの回避策を使用します。

  • 回避策 1:VPN プロファイルが削除された場合は、対応するルートポリシーも削除し、ルートポリシーを再作成します。これにより、VPN プロファイルが自動的に作成されます。

  • 回避策 2:RESTCONF API を使用して VPN プロファイルを作成します。これは、Cisco Crosswork Network Controller UI のみの問題です。

  • 回避策 3:Cisco Crosswork Network Controller UI で、ペイロードを直接インポートして VPN プロファイルを作成します。

パッチのインストールのワークフロー

ここでは、Cisco Crosswork UI からパッチファイルをインストールする方法について説明します。

作業を開始する前に、次の用意ができていることを確認してください。

  • Cisco Software Download [英語] ページからローカルマシンにダウンロードしたパッチイメージファイル(.tar.gz)。

  • Cisco Crosswork 管理者ユーザーのログイン情報。

  • Crosswork VM の展開に使用する管理 IP アドレス。


(注)  

パッチのインストール中にエラーが発生した場合は、シスコ カスタマー エクスペリエンス チームにお問い合わせください。

手順

ステップ 1

[管理(Administration)] > [Crosswork の管理(Crosswork Management)] をクリックし、[アプリケーション管理(Application Management)] タブを選択します。Crosswork プラットフォーム インフラストラクチャと追加されたアプリケーションは、ここにタイルとして表示されます。

ステップ 2

[ファイルの追加(.tar.gz)(Add File (.tar.gz))] オプションをクリックして、ダウンロードしたパッチファイルを追加します。

ステップ 3

[ファイルの追加(Add File)] ダイアログボックスで、該当する情報を入力し、[追加(Add)] をクリックします。

ステップ 4

ファイルを追加すると、既存のアプリケーションタイル(この例では [ゼロタッチプロビジョニング(Zero Touch Provisioning)])にアップグレードプロンプトが表示されます。

アップグレードする場合は、アップグレードプロンプトをクリックすると、パッチファイルがインストールされます。

ステップ 5

または、アプリケーションタイルの をクリックし、ドロップダウンリストから [アップグレード(Upgrade)] オプションを選択します。

[アップグレード(Upgrade)] ポップアップ画面で、アップグレードする新しいバージョンを選択し、[アップグレード(Upgrade)] をクリックします。[ジョブ履歴(Job History)] をクリックして、アップグレード操作の進行状況を確認します。

ステップ 6

Crosswork Infrastructure 4.0.2 パッチの追加のインストール手順:

(注)   

次の手順は、Crosswork Infrastructure 4.0.2 パッチイメージ(cw-na-infra-patch-4.0.2-4-release-220503.tar.gz)にのみ適用され、他のパッチファイルには必要ありません。

  1. Crosswork Infrastructure 4.0.2 パッチイメージcw-na-infra-patch-4.0.2-4-release-220503.tar.gz)を cisco.com から任意の Linux サーバーにダウンロードします。

  2. 続行する前にチェックサムを確認してください。カーソルをイメージファイルの上に置き、チェックサム(MD5 または SHA512)を cisco.com からコピーします。次のコマンドを実行してファイルの完全性を確認します。 

    cd <directory consisting .tar.gz file>
md5sum ./cw-na-infra-script-4.0.2.tar.gz
(OR)
sha512sum ./cw-na-infra-script-4.0.2.tar.gz

    表示されたチェックサムを cisco.com からコピーした値と比較します。

  3. パッチイメージファイルを解凍します。 

    cd <folder where tar was download>
tar -xvf ./cw-na-infra-script-4.0.2.tar.gz

    次のファイル(bash スクリプトと手順)が表示されます。

    -- cw-na-infra-script-4.0.2.sh
-- README.txt

  4. bash スクリプトを含むディレクトリから次のコマンドを実行します。

    scp ./cw-na-infra-script-4.0.2.sh cw-admin@<cw mgmt-ip>:/home/cw-admin/
    (注)   
    <cw mgmt-ip> を Crosswork の展開に使用する管理 IP アドレスに置き換えます。

  5. bash スクリプトを実行します。

    (注)   

    スクリプトにはユーザー入力が必要です。スクリプトの実行に沿って指示に従ってください。

    		 
    cd /home/cw-admin
chmod +x ./cw-na-infra-script-4.0.2.sh
./cw-na-infra-script-4.0.2.sh

    このスクリプトは、パッチが適用された新しいイメージを有効にするために、パッチが適用された Crosswork Infrastructure ポッドを再起動します。スクリプトを監視し、プロンプトが表示されたら各ポッドに yes を入力します。