[English]Der Virtualisierungsspezialist VMware hat Sicherheitsupdates für diverse Virtualisierungsprodukte freigegeben. Diese sollen die Spring4Shell genannte Remote Code Execution (RCE) Schwachstelle in diesem Produkten schließen. Gefährdet sind vor allem Cloud-Produkte, die Virtualisierung verwenden. Hier eine Übersicht über diesen Sachverhalt.
Anzeige
Spring4Shell: Schwachstelle CVE-2022-2296
Die vor einer guten Woche als Spring4Shell gefundene Schwachstelle CVE-2022-2296 existiert im Open-Source-Java-Framework Spring. Durch die Sicherheitslücke kann ein Angreifer beliebigen Code auf einem entfernten Webserver ausführen (Remote Code Execution). Dazu heißt es auf mitre.org zu CVE-2022-22965:
Eine Spring MVC- oder Spring WebFlux-Anwendung, die unter JDK 9+ ausgeführt wird, ist möglicherweise anfällig für Remotecodeausführung (RCE) über Datenbindung. Der spezifische Exploit erfordert, dass die Anwendung auf Tomcat als WAR-Bereitstellung ausgeführt wird. Wenn die Anwendung als ausführbares Spring Boot jar bereitgestellt wird, d. h. standardmäßig, ist sie nicht für den Exploit anfällig. Die Schwachstelle ist jedoch allgemeiner Natur, und es gibt möglicherweise andere Möglichkeiten, sie auszunutzen.
Das macht CVE-2022-22965, wegen der breiten Verwendung des Spring-Frameworks, zu einer kritischen Bedrohung. In Anlehnung an die berüchtigte Log4Shell-Bedrohung wurde die Sicherheitslücke Spring4Shell genannt. Eine anfällige Konfiguration besteht aus:
- JDK Version 9+
- Apache Tomcat für die Bereitstellung der Anwendung
- Spring Framework Versionen 5.3.0 bis 5.3.17 und 5.2.0 bis 5.2.19 und darunter als WAR-Datei erstellte Anwendung
Die Schwachstelle CVE-2022-22963 existiert in der Routing-Funktionalität von Spring Cloud Function und ermöglicht eine Code-Injektion durch Spring Expression Language (SpEL). Details zu Spring4Shell finden sich auf Securelist von Kaspersky. Ein Update der betreffenden Komponente von Spring Cloud Function 3.1.6, 3.2.2 auf 2.6.6 sollte die Schwachstelle beseitigen (siehe Spring-Blog). Inzwischen wurde auf GitHub bereits ein Exploit veröffentlicht.
VMware reagiert auf die Spring4Shell-Schwachstelle
Anbieter VMware hat seine Produkte auf Anfälligkeit im Hinblick auf die Spring4Shell-Schwachstelle untersucht und den Sicherheitshinweis VMSA-2022-0010.1 veröffentlicht. Die Schwachstelle CVE-2022-2296 wird mit dem CVE-Score von 9.8 eingestuft (kritisch) und VMware gibt folgende Produkte als betroffen an:
Anzeige
- VMware Tanzu Application Service for VMs
- VMware Tanzu Operations Manager
- VMware Tanzu Kubernetes Grid Integrated Edition (TKGI)
Der Hersteller hat in seinem Sicherheitshinweis folgende Tabelle mit einem Überblick über betroffenen und patchbare Produkte veröffentlicht.
Die Auflistung zeigt, dass für die Tanzu-Applications Services und für den Tanzu Operations Manager bereits Patches für die diversen Versionen bereitstehen. Für TKGI stehen die Sicherheitsupdates aber noch aus, wobei es aber einen Workaround gibt, um CVE-2022-22965 abzuschwächen.
Anzeige
