Wykryto krytyczną lukę bezpieczeństwa w Java. Jest z nią poważny problem
To nie jest dobry dzień dla osób odpowiedzialnych za bezpieczeństwo w korporacjach. Właśnie wykryto poważną podatność w Java Spring Framework, która może doprowadzić do wykonania praktycznie dowolnego kodu na zainfekowanej maszynie.
Spring jest platformą programistyczną dla aplikacji Java - podstawowe funkcje frameworka mogą być używane przez dowolną aplikację Java, ale istnieją też rozszerzenia do tworzenia aplikacji internetowych na platformie Java EE (Enterprise Edition). Niestety, w platformie wykryto poważną lukę bezpieczeństwa, która pozwala na zdalne wykonanie dowolnego złośliwego kodu.
Spring4Shell - wykryto poważną lukę bezpieczeństwa w Java Spring Framework
Firma VMware (odpowiedzialna za framework Spring) miała zostać poinformowana o sprawie już we wtorek wieczorem, jednak proces łatania i oficjalnego identyfikacji luki numerem CVE nie został ukończony – można zatem powiedzieć, że mieliśmy tutaj do czynienia z tzw. luką 0-day (roboczona została ona nazwana jako Spring4Shell). Sprawa jest o tyle poważna, że framework jest używany przez wiele platform oprogramowania dla przedsiębiorstw opartych na Javie.
Luka publicznie została ujawniona po tym, jak chiński badacz bezpieczeństwa opublikował exploita typu „proof-of-concept” (PoC). Sprawa była jednak o tyle zagadkowa, że zaraz po ujawnieniu luki usunął on swoje konto na Twitterze.
Will Dormann, badacz bezpieczeństwa CERT/CC, niedługo później potwierdził, że przygotowany kod exploita rzeczywiście działa. Pojawiają się jednak rozbieżności odnośnie warunków zainfekowania maszyny.
Spring.io łata lukę Spring4Shell
Firma Spring.io (należąca do VMware) niedawno oficjalnie potwierdziła podatność w platformie (tutaj możecie znaleźć wszystkie szczegóły). Wiadomo, że dotyczy ona platformy Java Development Kit (JDK) w wersji 9 lub nowszej i szczególnych wymagań przygotowanej aplikacji (przynajmniej w teorii, bo mogą istnieć inne sposoby jej wykorzystania, które nie zostały jeszcze ujawnienia).
Luka została oznaczona numerem CVE-2022-22965 jako krytyczna podatność. Jednocześnie programiści wydali nowe wersje Sprimg Framework 5.3.18 / 5.2.20 oraz Spring Boot 2.5.12 / 2.6.6, które mają wprowadzać odpowiednie łatki bezpieczeństwa.
Źródło: Security Affairs, Sekurak, Spring
Komentarze
21."która może doprowadzić do wykonania praktycznie dowolnego na zainfekowanej maszynie" - "urwane" zdanie, albo raczej myśl
2."kontenerem odwrócenia sterowania dla aplikacji Java" - błagam nie tłumacz z angielskiego przy pomocy Google Translate, bo robisz to źle.
3."VMWare" -> powinno być VMware