Spring to framework do tworzenia aplikacji i kontener kontroli zwrotnej dla aplikacji Java – z podstawowych funkcji platformy może korzystać dowolna aplikacja Java, ale istnieją również rozszerzenia do tworzenia aplikacji internetowych na platformie Java EE (Enterprise Edition). Niestety w platformie wykryto poważną lukę w zabezpieczeniach, umożliwiającą zdalne wykonanie dowolnego złośliwego kodu.
Spring4Shell — w Java Spring Framework wykryto poważną lukę.
VMWare (odpowiedzialny za framework Spring) miał zostać poinformowany o sprawie we wtorek wieczorem, ale proces naprawy i oficjalnej identyfikacji podatności z numerem CVE nigdy nie został zakończony – można więc powiedzieć, że mamy do czynienia z tzw. -zwana podatnością 0-day (pracownik nazywał się Spring4Shell). Sprawa jest na tyle poważna, że framework jest używany w wielu platformach oprogramowania dla przedsiębiorstw opartych na Javie.
Luka została publicznie ujawniona po opublikowaniu przez chińskiego badacza bezpieczeństwa exploita sprawdzającego koncepcję (PoC). Jednak sprawa była tak tajemnicza, że natychmiast po wykryciu luki usunął swoje konto na Twitterze.
Will Dormann, badacz bezpieczeństwa CERT/CC, wkrótce potwierdził, że przygotowany kod exploita rzeczywiście zadziałał. Istnieją jednak rozbieżności w warunkach infekcji maszyny.
Spring.io naprawia lukę Spring4Shell
VMWare niedawno oficjalnie potwierdziło obecność luki w platformie (pełne szczegóły można znaleźć tutaj). Wiadomo, że mówimy o platformie Java Development Kit (JDK) w wersji 9 i nowszej oraz o specyficznych wymaganiach dla gotowej aplikacji (przynajmniej teoretycznie, ponieważ mogą istnieć inne sposoby jej wykorzystania, które nie zostały jeszcze ujawnione) .
Luka została oznaczona numerem CVE-2022-22965 jako podatność krytyczna. W tym samym czasie twórcy wydali nowe wersje Sprimg Framework 5.3.18/5.2.20 i Spring Boot 2.5.12/2.6.6, które powinny naprawić usterkę.
Źródło: Służba Bezpieczeństwa, Securak, Vesna.
Dodaj komentarz