Spring ist ein Anwendungsentwicklungs-Framework und Reverse-Control-Container für Java-Anwendungen – die Kernfunktionen der Plattform können von jeder Java-Anwendung verwendet werden, aber es gibt auch Erweiterungen für die Entwicklung von Webanwendungen auf der Java EE-Plattform (Enterprise Edition). Leider wurde in der Plattform eine schwerwiegende Sicherheitslücke gefunden, die es ermöglicht, schädlichen Code aus der Ferne auszuführen.
Spring4Shell – Im Java Spring Framework wurde eine schwerwiegende Schwachstelle entdeckt.
Eigentlich sollte VMWare (verantwortlich für das Spring-Framework) am Dienstagabend über den Fall informiert werden, aber der Prozess der Behebung und offiziellen Identifizierung der Schwachstelle mit der CVE-Nummer wurde nie abgeschlossen – wir können also sagen, dass wir es hier damit zu tun haben -genannte 0-Day-Schwachstelle (der Worker hieß Spring4Shell). Die Sache ist so ernst, dass das Framework in vielen Java-basierten Enterprise-Software-Plattformen zum Einsatz kommt.
Die Schwachstelle wurde öffentlich bekannt gegeben, nachdem ein chinesischer Sicherheitsforscher einen Proof-of-Concept (PoC)-Exploit veröffentlicht hatte. Der Fall war jedoch so mysteriös, dass er seinen Twitter-Account sofort nach Entdeckung der Schwachstelle löschte.
Will Dormann, ein CERT/CC-Sicherheitsforscher, bestätigte bald, dass der präparierte Exploit-Code tatsächlich funktionierte. Es gibt jedoch Diskrepanzen bei den Bedingungen für die Infektion einer Maschine.
Spring.io behebt Spring4Shell-Schwachstelle
VMWare hat kürzlich offiziell das Vorhandensein einer Schwachstelle in der Plattform bestätigt (vollständige Details finden Sie hier). Es ist bekannt, dass wir über die Plattform Java Development Kit (JDK) Version 9 und neuer und die spezifischen Anforderungen an die fertige Anwendung sprechen (zumindest in der Theorie, da es möglicherweise andere Verwendungsmöglichkeiten gibt, die noch nicht offengelegt wurden). .
Der Schwachstelle wurde die Nummer CVE-2022-22965 als kritische Schwachstelle zugewiesen. Gleichzeitig veröffentlichten die Entwickler neue Versionen von Sprimg Framework 5.3.18/5.2.20 und Spring Boot 2.5.12/2.6.6, die die Lücke schließen sollen.
Quelle: Sicherheitsdienst, Securak, Vesna.
Schreibe einen Kommentar