微软针对Spring框架漏洞CVE-2022-22965的响应措施

摘要

微软通过Spring框架RCE早期公告分析了2022年3月31日披露的远程代码执行漏洞CVE-2022-22965。截至目前，微软企业服务未受此漏洞影响，服务可用性也未出现降级。

相关威胁分析参见：SpringShell RCE漏洞防护指南
更新与缓解措施详见：Spring框架RCE早期公告

微软安全团队已完成产品和服务分析，识别并修复了所有受CVE-2022-22965影响的Spring框架实例。

产品专项指南

• 若发现需客户采取额外措施的风险或漏洞，将另行通知受影响客户
• 客户需自行分析管理的应用程序，并根据Spring官方最新指南进行更新或缓解
• 部署至微软服务的操作系统、软件和应用程序，其升级与安全补丁由客户自行负责
• 可参考各微软服务的《安全更新信息》了解服务端的补丁管理机制
• 建议客户尽快应用Spring框架更新
• 我们将根据调查进展持续更新本指南

MSRC团队
修订记录：
2022年4月5日 – 首次发布
2022年6月7日 – 更新调查状态
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
公众号二维码