VMware hat vor Kurzem bestätigt, dass es in einigen VMware Tanzu-Entwicklertools Sicherheitslücken gibt. Die Spring4Shell-Schwachstellen wurden dabei als kritisch eingestuft. Nun stehen neben einem Workaround auch erste Updates zur Verfügung.
Bei Spring4Shell handelt es sich um eine kritische Schwachstelle, die Angreifern eine Remotecode-Ausführung ermöglicht und in mehreren VMware Cloud Computing- und Virtualisierungsprodukten vorhanden ist. VMware-Produkte, die von Spring4Shell betroffen sind, sind unter anderem die VMware Tanzu Application Service und Spring Boot. Eine Liste der VMware-Produkte ist auf der Support-Webseite des Unternehmens verfügbar und am Ende dieses Beitrags mit angehängt.
In den Fällen, in denen kein Fix verfügbar ist, hat VMware einen Workaround als vorübergehende Lösung zur Abschwächung des Problems veröffentlicht. VMware empfiehlt Unternehmen, die die betroffenen Lösungen einsetzen, jetzt schnell zu handeln, da Spring4Shell eine aktiv ausgenutzte Sicherheitslücke ist.
Sicherheitslücke im Spring Core Java-Framework
Spring4Shell, das offiziell als CVE-2022-22965 geführt wird, ist eine Sicherheitslücke im Spring Core Java-Framework, die ohne Authentifizierung ausgenutzt werden kann und einen Schweregrad von 9,8 von 10 hat. Das bedeutet, dass jeder böswillige Akteur mit Zugriff auf anfällige Anwendungen beliebige Befehle ausführen und die vollständige Kontrolle über ein Zielsystem übernehmen kann.
Proof-of-Concept veröffentlicht
Aufgrund des weitverbreiteten Einsatzes des Spring Frameworks für die Entwicklung von Java-Anwendungen befürchten Sicherheitsanalysten derzeit bereits groß angelegte Angriffe, die die Spring4Shell-Schwachstelle ausnutzen werden. Erschwerend kommt hinzu, dass ein funktionierender Proof-of-Concept (PoC)-Exploit auf GitHub veröffentlicht wurde, noch bevor ein Sicherheitsupdate zur Verfügung stand. Das erhöht natürlich die Wahrscheinlichkeit einer böswilligen Ausnutzung.
Die betroffenen Versionen der Anwendungen sind:
Spring Framework 5.3.18 und Spring Framework 5.2.20
Spring Boot 2.5.12
Spring Boot 2.6.6 (wird in Kürze veröffentlicht)
VMware Tanzu Application Service für VMs - Versionen 2.10 bis 2.13
VMware Tanzu Operations Manager - Versionen 2.8 bis 2.9
Anmelden
VMware hat vor Kurzem bestätigt, dass es in einigen VMware Tanzu-Entwicklertools Sicherheitslücken gibt. Die Spring4Shell-Schwachstellen wurden dabei als kritisch eingestuft. Nun stehen neben einem Workaround auch erste Updates zur Verfügung.
Bei Spring4Shell handelt es sich um eine kritische Schwachstelle, die Angreifern eine Remotecode-Ausführung ermöglicht und in mehreren VMware Cloud Computing- und Virtualisierungsprodukten vorhanden ist. VMware-Produkte, die von Spring4Shell betroffen sind, sind unter anderem die VMware Tanzu Application Service und Spring Boot. Eine Liste der VMware-Produkte ist auf der Support-Webseite des Unternehmens verfügbar und am Ende dieses Beitrags mit angehängt.