Java: Spring4Shell Sicherheitslücke

vor einigen Tagen wurde im Basierten Spring Framework kritische Spring4Shell entdeckt und mittlerweile auch geschlossen. Nach intensiver Recherche konnten wir keine Software entdecken, die das Framework im uns bekannten Umfeld einsetzt. Außerdem erfordert das Ausnutzen der Lücke eine recht exotische Installationsanordnung. Das bedeutet nicht, dass Sie im eigenen Umfeld diese Konstellation einsetzen könnten.

Diese Lücke zeigt jedoch wieder, dass der Einsatz von Java-basierter Software grundsätzlich ein Risiko darstellt. Da es keine zentrale Liste gibt, die beschreibt, welche JAVA-Bibliotheken eine Software-Anwendung einsetzt und jede Java-Version spätestens nach drei Monaten ohne Updates Sicherheitslücken enthält, bleibt der Einsatz von JAVA kritisch.

1. Wann bin ich von der Lücke betroffen

Nur, wenn Sie JAVA in Verbindung mit einer JAVA-basierten Software im Einsatz haben, die das Spring Framework einsetzt

2. Was kann ich tun?

Die effektivste Methode ist, sich von allen JAVA-Installationen zu trennen, und wenn Software mit JAVA im Einsatz ist, nach Alternativen zu suchen

3. Ist Spring4Shell so gefährlich wie LOG4Shell?

Nein. Erstens setzen wesentlich weniger JAVA-Projekte auf dieses Framework als das bei LOG4J der Fall ist, zweitens lässt sich die Remote Code Lücke nur in Verbindung mit einer in speziellem Modus gestarteten TOMCat Webserver nutzen

4. Wo bekomme ich den Patch her?

Wenn Sie eine Software identifiziert haben sollten, die das Framework benutzt, wenden Sie sich bitte an den Hersteller der Software

Umgang mit Java
  • Vorhandene JAVA-Installationen sollten darauf geprüft werden, ob sie noch von Programmen genutzt werden – wenn nicht: entfernen!
  • Ist die Java-Installation von Oracle, sollte sie grundsätzlich sofort entfernt und durch Adoptium Temurin ersetzt werden. Möchte man aktuelle Oracle Java Versionen einsetzen, ist ein Abonnement mit der Oracle Corporation pro Gerät erforderlich.
  • Im Optimalfall ist keine Software auf JAVA-Basis mehr erforderlich. Damit lassen sich dann auch keine Schwachstellen wie LOG4J oder SPRING4SHELL ausnutzen und die Sicherheitslücken der Java-Runtime entfallen.
  • Bleibt noch JAVA-basierte Software im Einsatz, nehmen Sie mit dem Hersteller Kontakt auf und fragen nach Alternativen – oder stellen die Produkte ein. „Ein Leben ohne JAVA ist möglich und nicht sinnlos“.

Spring4Shell has been catalogued as CVE-2022-22965 and fixed in Spring Framework 5.3.18 and 5.2.20, and Spring Boot (which depends on the Spring Framework) 2.5.12 and 2.6.6.“The vulnerability impacts Spring MVC and Spring WebFlux applications running on JDK 9+. The specific exploit requires the application to run on Tomcat as a WAR deployment,” Spring Framework developers have explained.“If the application is deployed as a Spring Boot executable jar, i.e. the default, it is not vulnerable to the exploit. However, the nature of the vulnerability is more general, and there may be other ways to exploit it.”

https://www.helpnetsecurity.com/2022/04/01/cve-2022-22965/

Verwandte Beiträge
LOG4J Sicherheitslücke JAVA
In Servern und Serverdiensten, die auf der Programmiersprache #JAVA basieren (nicht Javascript!), gibt es eine Bibliothek namens #LOG4J zum Protokollieren
Java-Alternativen
Wer nur eine #Java Runtime benötigt, um damit in Java entwickelte Programme lokal betreiben zu wollen, kann die #Adoptium openJDK
Microsoft Sicherheitslücken
#Java 8u72 mit zahlreichen Sicherheitsfixes, ebenso Google #Chrome Enterprise: 48.0.2564.82, Microsoft Skype: 7.18.32.109, Windows 10 Insider Preview: build 11102. Halten
VLC Plus Player – Adware
Neulich entdeckt beim Software-Scan. Es tauchte in der Softwareliste statt des bekannten quelloffenen "VLC Media Player" von videolan.org ein VLC
Ändere Dein Passwort – Tag
Seit vielen Jahren gibt es immer am 01. Februar den Motto Tag "Ändere Dein Passwort". Nachdem schon vor Jahren durch
Windows Print Nightmare Lücken – geschlossen
Updates verfügbar: 07.07.2021 Microsoft hat außerplanmäßig das Update KB5004945 und andere Updates bereitgestellt. Stand 8.7. auch für Server 2016 und alte Windows 10
Über den Autor:

Patrick Bärenfänger ist seit mehr als 30 Jahren in der IT-Branche tätig und TÜV-geprüfter IT-Security Manager und -Auditor. Er beschäftigt sich mit der Gestaltung von Internet-Auftritten, Entwicklung von Web-Anwendungen, Mobilität, Fahrzeug-Multimediatechnik, neuer Software und Hardware. Windows und android sind seine Welt.

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert