Spring4Shell - CVE-2022-22965 Status und Reaktion

Informationen

Betroffen sind alle Java-Spring-Applikationen, die Daten von anderen System entgegennehmen/holen (REST-Endpunkt, Messaging, Datenbank, usw.), auch wenn diese nicht direkt über Web erreichbar sind. Alle Kisters Anwendungen, die auf SpringBoot basieren und nicht auf Version 2.6.6. oder 2.5.12 stehen (die gibt es seit heute Nacht / 1.4.) sind betroffen und müssen aktualisiert werden

Linklist

[1] https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
[2] https://tanzu.vmware.com/security/cve-2022-22965
[3] https://www.golem.de/news/java-exploit-fuer-rce-luecke-in-spring-geleakt-2203-164292.html

Info für Spring Boot basierte Anwendungen

SpringBoot basiert auf dem Spring-Framework und ist somit auch betroffen!

Mitigation-Strategies

Aus originalem SpringBoot-Blog-Eintrag: Users of affected versions should apply the following mitigation: 5.3.x users should upgrade to 5.3.18+, 5.2.x users should upgrade to 5.2.20+. No other steps are necessary. There are other mitigation steps for applications that cannot upgrade to the above versions. Those are described in the early announcement blog post, listed under the Resources section. Releases that have fixed this issue include:

Spring Framework

5.3.18+ 5.2.20+

Aus Golem-Artikel (siehe [3]):

Bis ein Patch verfügbar ist, empfehlen die genannten Sicherheitsunternehmen als Vorkehrungsmaßnahme unter anderem Controller-Regeln für die Spring-Anwendung, die das Angriffsmuster erkennen und ausfiltern soll. Auch werden Regeln für eine Web Application Firewall empfohlen und es sind bereits Yara-Regeln verfügbar, die ein mögliches Ausnutzen der Lücke erkennen sollen.

Auswirkungen auf IFAS

Da wir in den Services für IFAS Spring Boot in Version 2.5.9 verwenden, haben wir eine Abhängigkeit auf Spring 5.3.15. Anfällig für die Schwachstelle sind Spring Versionen bis 5.3.17. Damit besteht potentiell ein Problem.

Für das Ausnutzen der Schwachstelle sind allerdings weitere Bedingungen erforderlich. Hier scheint aber noch nicht klar zu sein ob die Liste vollständig ist. Die wichtigsten für uns sind
• Verwendung von Java 9 oder neuer: der Großteil der Installationen beim Kunden verwendet noch Java 8
• Das System muss über das Internet erreichbar sein: unsere Dienste werden im internen Netz der Behörden betrieben

Von daher gehen wir davon aus, das die Schwachstelle bei unseren Kunden nicht ausgenutzt werden kann.

Spring Boot 2.5.12 behebt die Lücke und steht zur Verfügung. Das Update unserer Auslieferungen ist in Arbeit.
Applikation Betroffene Version Risiko Verwendete Spring Version Maßnahme
Asbest Schnittstelle Hamburg 77.738 niedrig Spring Boot 2.5.9 Aktualisierung auf Spring Boot 2.5.12
DMS Schnittstelle CMIS 77.738 niedrig Spring Boot 2.5.9 Aktualisierung auf Spring Boot 2.5.12
DMS Schnittstelle Fabasoft 74.111 niedrig Spring Boot 2.5.9 Aktualisierung auf Spring Boot 2.5.12
DMS Schnittstelle VIS VAPI 77.816 niedrig Spring Boot 2.5.9 Aktualisierung auf Spring Boot 2.5.12
Formularserver Schnittstelle Bayern 77.738 niedrig Spring Boot 2.5.9 Aktualisierung auf Spring Boot 2.5.12
Formularserver Schnittstelle NRW 77.738 niedrig Spring Boot 2.5.9 Aktualisierung auf Spring Boot 2.5.12
Heimaufsicht Schnittstelle Hessen 78.515 niedrig Spring Boot 2.5.9 Aktualisierung auf Spring Boot 2.5.12
Jobs Hessen (Hedok, Asbest, Bau, Postimport) 77.738 niedrig Spring Boot 2.5.9 Aktualisierung auf Spring Boot 2.5.12
Job Hamburg (EfA) 78.280 niedrig Spring Boot 2.5.9 Aktualisierung auf Spring Boot 2.5.12
Jobs Sachsen (Vis) 78.130 niedrig Spring Boot 2.5.9 Aktualisierung auf Spring Boot 2.5.12
Jobs Sachsen (Update) 78.298 niedrig Spring Boot 2.5.9 Aktualisierung auf Spring Boot 2.5.12
Job Bremen (Vis) 78.479 niedrig Spring Boot 2.5.9 Aktualisierung auf Spring Boot 2.5.12
Job SWH (Vis) 78.479 niedrig Spring Boot 2.5.9 Aktualisierung auf Spring Boot 2.5.12
Job Berlin (NiSV) 77.738 niedrig Spring Boot 2.5.9 Aktualisierung auf Spring Boot 2.5.12
MUSCHG Schnittstelle Hessen 77.738 niedrig Spring Boot 2.5.9 Aktualisierung auf Spring Boot 2.5.12
IFAS Plus-Service 78.421 niedrig Spring Boot 2.5.9 Aktualisierung auf Spring Boot 2.5.12
XFall Schnittstelle Hessen 77.738 niedrig Spring Boot 2.5.9 Aktualisierung auf Spring Boot 2.5.12