2022-0735: Spring Framework: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-04-01 16:35)

Neues Advisory

Version 2 (2022-04-01 18:44)

Das Apache Tomcat Team hat auf die Veröffentlichung der Schwachstelle mit den Apache Tomcat 10.0.20, 9.0.62 und 8.5.78 Releases reagiert, um den Angriffsvektor durch Deaktivierung der Methode WebappClassLoaderBase.getResources() zu schließen. Hierdurch würden beispielsweise auch nicht mehr unterstützte Releases von Spring Framework abgesichert.

Version 3 (2022-04-04 14:04)

In vorigen Versionen dieses Sicherheitshinweises wurde fälschlicherweise die CPE (Common Platform Enumeration) für das Produkt Shibboleth Service Provider (SP) im Abschnitt zur betroffenen Software angegeben. Richtig ist, dass Shibboleth Identity Provider (IdP) möglicherweise von der Schwachstelle betroffen ist.

Version 4 (2024-12-19 07:28)

Canonical stellt für Ubuntu 24.10, Ubuntu 24.04 LTS, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS und Ubuntu 18.04 ESM Sicherheitsupdates für 'libspring-java' bereit, um die Schwachstelle zu beheben.

Betroffene Software

Entwicklung
Server
Sicherheit

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich. Bisher ist nicht abschließend geklärt, welche Voraussetzungen neben der Laufzeitumgebung JDK9 oder später für eine erfolgreiche Ausnutzung der Schwachstelle erfüllt sein müssen.

Der Hersteller VMware bietet Sicherheitsupdates für das Spring Framework in den Versionen 5.3.18 und 5.2.20 an. Das darauf aufbauende Spring Boot wurde ebenfalls aktualisiert und steht in den Versionen 5.2.12 und 5.6.6 zur Verfügung.

Das Shibboleth Projekt stellt die Version 4.1.6 des Identity Provider bereit, um das Spring Framework auf die Version 5.3.18 zu aktualisieren.

Schwachstellen:

CVE-2022-22965

Schwachstelle in Spring Framework ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.