Lai šī tīmekļa vietne darbotos, CERT.LV izmanto obligāti nepieciešamās sīkdatnes.

Ar Jūsu piekrišanu šajā vietnē papildus var tikt izmantotas statistikas un mārketinga sīkdatnes.

Ja piekrītat šo papildu sīkdatņu izmantošanai, lūdzam atzīmēt savu izvēli:

Plašāka informācija un iespēja mainīt savu izvēli šeit.

☰
Sākums Incidenti Brīdinājumi

Atklātas divas kritiskas Java Spring ievainojamības – CVE-2022-22963 un Spring4Shell

Marta beigās publicēta informācija par divām jaunām un kritiskām ievainojamībām, kas savā starpā tiek jauktas. Viena no tām ir CVE-2022-22963 (ietekmēts Spring Cloud) un otra ir CVE-2022-22965 jeb “Spring4Shell” (ietekmēts Java lietojumprogrammu izstrādes ietvars Spring).

Java lietojumprogrammu izstrādes ietvars palīdz paātrināt Java lietotņu izstrādi un to aktīvi izmanto Java programmētāji visā pasaulē.

Īsumā par abām ievainojamībām:

  • Ievainojamība (CVE-2022-22963) skar Spring Cloud funkcijas un sniedz uzbrucējam iespēju veikt attālinātā koda izpildi. Ir pieejami atjauninājumi, kas novērš minēto ievainojamību, un tos ieteicams uzstādīt pēc iespējas ātrāk.
  • Ievainojamība (CVE-2022-2965) ietekmē Spring Core un arī sniedz uzbrucējam iespēju veikt nesankcionētu attālinātā koda izpildi. Šī ievainojamība tiek dēvēta arī par “Spring4Shell” vai “SpringShell”, un arī šajā gadījumā ir pieejami atjauninājumi, kas novērš minēto ievainojamību.

Brīdinājums! Abām ievainojamībām ir pieejams potenciālās izmantošanas koncepta apraksts (PoC), kas jau tiek izmantots reālos uzbrukumos.
 

Vai esmu ietekmēts?
 

CVE-2022-22963 gadījumā esat pakļauts uzbrukuma riskam, ja izmantojat Spring Cloud versijas, kas vecākas par:

  • 3.1.7
  • 3.2.3

CVE-2022-22965 jeb Spring4Shell gadījumā esat pakļauts riskam, ja izmantojat Spring Core:

  • Ar Spring Framework versijām no 5.3.0 līdz 5.3.17
  • Ar Spring Framework versijām no 5.2.0 līdz 5.2.19
  • Ar vecākām Spring Framework versijām

Papildu Spring4Shell gadījumā esat pakļauts riskam, ja izmantojat:

  • JDK9 un jaunākas versijas
  • Spring-Beans pakotni
  • Spring parametru saistīšanu (Spring parameter binding)
  • Parametru saistīšana, kurā tiek izmantoti ne pamata parametru veidi, piemēram, vispārīgie - POJO

Spring4Shell gadījumā varat noteikt, vai esat pakļauts riskam, izmantojot šo rīku – Vulnerability scanner.


Ko darīt?
 

CVE-2022-22963 gadījumā atjaunināt Spring Cloud funkcijas versiju uz:

  • 3.1.7 (vai jaunāku)
  • 3.2.3. (vai jaunāku)

CVE-2022-22965 gadījumā atjaunināt uz Spring Core ar ietvara (framework) versiju:

  • 3.18 (vai jaunāku)
  • 2.19 (vai jaunāku)

Risku mazināšanai (mitigation) Spring4Shell ievainojamības gadījumā:

  • Savā tīmekļa lietojumprogrammas ugunsmūrī (Web Aplication Firewall) ieviesiet filtrēšanas un uzraudzības noteikumus (rules), kas atsaucas uz “class” ("class.*", "*.class.*", "Class.*", un "*.Class.*").

 

 

Plašāka informācija:

https://www.cert.govt.nz/it-specialists/advisories/active-exploitation-of-rce-in-javas-spring-framework/

https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement#suggested-workarounds

 

Ziņas

Par mums

Incidenti

Pakalpojumi

Kontakti

© 2024 CERT.LV