2018-0656: Spring Framework: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-04-10 16:13)

Neues Advisory

Betroffene Software

Entwicklung

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein entfernter und vermutlich nicht authentisierter Angreifer kann beliebigen Programmcode zur Ausführung bringen und seine Privilegien eskalieren. Die Schachstelle CVE-2018-1271 betrifft nur Windows-Distributionen und ermöglicht einem entfernten, einfach authentisierten Angreifer das Ausspähen von Informationen. Die Schwachstelle CVE-2018-1270 wird von Pivotal als kritisch eingestuft, da sie in der Standardkonfiguration besteht und auch dann von einem Angreifer ausgenutzt werden kann, wenn die STOMP-Unterstützung nicht mit in die Software kompiliert wurde. Die Schwachstelle CVE-2018-1275 ist identisch zur Schwachstelle CVE-2018-1270, betrifft aber nur den Versionszweig 4.3.x, da das vorangegangene Sicherheitsupdate vom 09.04.2018 (Spring Framework Release 4.3.15) die Schwachstelle CVE-2018-1270 nur zum Teil behoben hat.

Pivotal stellt die Versionen 5.0.5 und 4.3.16 zur Behebung der Schwachstellen bereit und weist darauf hin, das auch ältere nicht mehr unterstützte Versionen von den Schwachstellen betroffen sind.

Schwachstellen:

CVE-2018-1270

Schwachstelle in Spring Framework ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-1271

Schwachstelle in Spring Framework ermöglicht Ausspähen von Informationen

CVE-2018-1272

Schwachstelle in Spring Framework ermöglicht Privilegieneskalation

CVE-2018-1275

Schwachstelle in Spring Framework ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.