Java: Spring4Shell Sicherheitslücke

vor einigen Tagen wurde im Basierten Spring Framework kritische Spring4Shell entdeckt und mittlerweile auch geschlossen. Nach intensiver Recherche konnten wir keine Software entdecken, die das Framework im uns bekannten Umfeld einsetzt. Außerdem erfordert das Ausnutzen der Lücke eine recht exotische Installationsanordnung. Das bedeutet nicht, dass Sie im eigenen Umfeld diese Konstellation einsetzen könnten.

Diese Lücke zeigt jedoch wieder, dass der Einsatz von Java-basierter Software grundsätzlich ein Risiko darstellt. Da es keine zentrale Liste gibt, die beschreibt, welche JAVA-Bibliotheken eine Software-Anwendung einsetzt und jede Java-Version spätestens nach drei Monaten ohne Updates Sicherheitslücken enthält, bleibt der Einsatz von JAVA kritisch.

1. Wann bin ich von der Lücke betroffen

Nur, wenn Sie JAVA in Verbindung mit einer JAVA-basierten Software im Einsatz haben, die das Spring Framework einsetzt

2. Was kann ich tun?

Die effektivste Methode ist, sich von allen JAVA-Installationen zu trennen, und wenn Software mit JAVA im Einsatz ist, nach Alternativen zu suchen

3. Ist Spring4Shell so gefährlich wie LOG4Shell?

Nein. Erstens setzen wesentlich weniger JAVA-Projekte auf dieses Framework als das bei LOG4J der Fall ist, zweitens lässt sich die Remote Code Lücke nur in Verbindung mit einer in speziellem Modus gestarteten TOMCat Webserver nutzen

4. Wo bekomme ich den Patch her?

Wenn Sie eine Software identifiziert haben sollten, die das Framework benutzt, wenden Sie sich bitte an den Hersteller der Software

Umgang mit Java
  • Vorhandene JAVA-Installationen sollten darauf geprüft werden, ob sie noch von Programmen genutzt werden – wenn nicht: entfernen!
  • Ist die Java-Installation von Oracle, sollte sie grundsätzlich sofort entfernt und durch Adoptium Temurin ersetzt werden. Möchte man aktuelle Oracle Java Versionen einsetzen, ist ein Abonnement mit der Oracle Corporation pro Gerät erforderlich.
  • Im Optimalfall ist keine Software auf JAVA-Basis mehr erforderlich. Damit lassen sich dann auch keine Schwachstellen wie LOG4J oder SPRING4SHELL ausnutzen und die Sicherheitslücken der Java-Runtime entfallen.
  • Bleibt noch JAVA-basierte Software im Einsatz, nehmen Sie mit dem Hersteller Kontakt auf und fragen nach Alternativen – oder stellen die Produkte ein. „Ein Leben ohne JAVA ist möglich und nicht sinnlos“.

Spring4Shell has been catalogued as CVE-2022-22965 and fixed in Spring Framework 5.3.18 and 5.2.20, and Spring Boot (which depends on the Spring Framework) 2.5.12 and 2.6.6.“The vulnerability impacts Spring MVC and Spring WebFlux applications running on JDK 9+. The specific exploit requires the application to run on Tomcat as a WAR deployment,” Spring Framework developers have explained.“If the application is deployed as a Spring Boot executable jar, i.e. the default, it is not vulnerable to the exploit. However, the nature of the vulnerability is more general, and there may be other ways to exploit it.”

https://www.helpnetsecurity.com/2022/04/01/cve-2022-22965/

Zusammenfassung
  1. [faq openfirst=0 numbered=1] Wann bin ich von der Lücke betroffen|=|Nur, wenn Sie JAVA in Verbindung mit einer JAVA-basierten Software im Einsatz haben, die das Spring Framework einsetzt|| Was kann ich tun?
  2. |=|Wenn Sie eine Software identifiziert haben sollten, die das Framework benutzt, wenden Sie sich bitte an den Hersteller der Software[/faq] Umgang mit Java Vorhandene JAVA-Installationen sollten darauf geprüft werden, ob sie noch von Programmen genutzt werden - wenn nicht: entfernen!
  3. |=|Die effektivste Methode ist, sich von allen JAVA-Installationen zu trennen, und wenn Software mit JAVA im Einsatz ist, nach Alternativen zu suchen|| Ist Spring4Shell so gefährlich wie LOG4Shell?
Verwandte Beiträge
Über den Autor:
Patrick Bärenfänger ist Ihr Experte für IT-Sicherheit und Web-Entwicklung. Mit mehr als 34 Jahren Erfahrung in der IT-Branche und einer TÜV-Zertifizierung als IT-Security Manager und -Auditor bietet er Ihnen professionelle und zuverlässige Lösungen für Ihre digitalen Anforderungen. Ob Sie einen ansprechenden Internet-Auftritt, eine maßgeschneiderte Web-Anwendung, die KI nutzen lernen möchten, die Beurteilung Ihrer IT-Umgebung nach gängigen Standards benötigen, Patrick Bärenfänger ist mit den neuesten Software- und Hardware-Trends vertraut und setzt diese für Sie um.

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert