Sicherheitshinweis zu Spring4Shell
Diese Meldung wird laufend aktualisiert, sobald neue Informationen aus unseren Analysen hervorgehen. Bitte informieren Sie sich regelmäßig.
Letzte Aktualisierung: 13.04.2022, 12:20 Uhr MEZ
Es ist eine neue Sicherheitslücke mit der Bezeichnung “Spring4Shell” aufgetreten.
Die Sicherheitslücke wird detailliert in dem folgenden Post beschrieben:
https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/#rce-in-spring-core
Laut aktuellen Informationen besteht diese Sicherheitslücke aus zwei separaten Schwachstellen:
1) Potentielle Remote-Code-Ausführung im Spring Core (kritisch)
Für diese Sicherheitslücke gibt es derzeit keinen CVE-Eintrag, sie wird jedoch als "kritisch" eingestuft.
Diese Schwachstelle läuft nun unter dem Eintrag CVE-2022-22965 und wurde als "sehr kritisch" eingestuft.
Nach den derzeit verfügbaren Informationen sind Komponenten betroffen, die Spring Core <=5.3.17 zusammen mit JDK9 oder neuer verwenden.
Laut der anfänglichen Einschätzung vom 31.3.2022 sind von dieser Schwachstelle nur Komponenten betroffen, die Spring Core <=5.3.17 zusammen mit JDK9 oder neuer verwenden.
Die letzte Aktualisierung dieser Einschätzung, dieses Mal direkt von Spring, besagt, dass diese Schwachstelle Spring-MVC- und Spring-WebFlux-Anwendungen betrifft, die auf JDK 9+ laufen. Diese spezielle Schwachstelle erfordert, dass die Anwendung auf Tomcat als WAR-Deployment läuft. Wenn die Anwendung als ausführbare Spring Boot jar bereitgestellt wird, was dem Standard entspricht, dann ist sie von dieser Schwachstelle nicht betroffen. Spring untersucht weiter, ob es weitere potentiell ausnutzbare Szenarien gibt.
Potentiell betroffene Produktlinien: yuuvis® RAD (alle Versionen), yuuvis® Momentum (alle Versionen)
Wir analysieren derzeit, ob diese Schwachstelle in diesen Produkten ausgenutzt werden kann, sowie eruieren die möglichen Abhilfemaßnahmen, bis der offizielle Patch von Spring veröffentlicht wird.
Nicht betroffene Produktlinien: enaio® (alle Versionen), yuuvis® RAD (alle Versionen) und yuuvis® Momentum (alle Versionen)
enaio®-Komponenten in allen unterstützten Versionen verwenden noch JDK8 und sind daher nach derzeitigem Kenntnisstand nicht betroffen. yuuvis® RAD und yuuvis® Momentum in allen unterstützten Versionen verwenden zwar neuere JDKs, erfüllen aber andere zurzeit bekannte Voraussetzungen (s. o.) nicht, die gegeben sein müssen, um die Schwachstelle erfolgreich auszunutzen und sind daher nicht betroffen.
Basierend auf den aktuell bekannten ausnutzbaren Szenarien, haben wir ebenfalls intern Tests durchgeführt, die bestätigen, dass unsere Produkte nicht betroffen sind. Selbstverständlich beobachten wir die Entwicklung dieser Schwachstelle weiterhin und werden diese Informationen laufend aktualisieren, sollte es weitere Schwachstellen geben.
2) Remote-Code-Ausführung und Schwachstelle beim Ressourcenzugriff in Spring Cloud (mittlerer Schweregrad kritisch)
Diese Sicherheitslücke wird unter CVE-2022-22963 geführt und ist derzeit als "mittlerer Schweregrad kritisch" eingestuft. Da diese Sicherheitslücke nicht kritisch ist, werden die betroffenen Komponenten in unserem regulären Patch-Zyklus gepatcht.
Diese CVE wurde zwar zu einer "kritischen Schwachstelle" umklassifiziert. Es ist nun aber auch eindeutiger definiert worden, dass nur das Spring-Cloud-Function-Modul von ihr betroffen ist. Da dieses Modul in yuuvis® Momentum nicht eingesetzt wird, ist das Produkt nicht von dieser Schwachstelle betroffen.
Betroffene Produktlinien: none yuuvis® Momentum (alle Versionen)
Nicht betroffene Produktlinien: enaio® (alle Versionen), yuuvis® RAD (alle Versionen), yuuvis® Momentum (alle Versionen)
Mit freundlichen Grüßen
Ihr OPTIMAL-SYSTEMS-Team
rechts temporär einblenden.
Bereiche können Sie einblenden. Alle ausgeblendeten Bereiche einer Seite blenden Sie über die Toolbar ein:
