חולשת יום אפס התגלתה במסגרת קוד בשפת ג׳אווה
פגיעות ביצוע קוד מרחוק (RCE) התגלתה במסגרת Spring זמן קצר לאחר שחוקר אבטחה סיני הדליף לזמן קצר הוכחת ניצול (PoC) ב-GitHub - לפני מחיקת חשבונו
פגיעות ביצוע קוד מרחוק (RCE) התגלתה במסגרת Spring זמן קצר לאחר שחוקר אבטחה סיני הדליף לזמן קצר הוכחת ניצול (PoC) ב-GitHub - לפני מחיקת חשבונו.
לפי חברת אבטחת הסייבר Praetorian, הפגם שלא תוקן משפיע על Spring Core ב-Java Development Kit גרסאות 9 ואילך ומהווה מעקף לפגיעות אחרת כ-CVE-2010-1622, המאפשרת לתוקף לא מאומת להפעיל קוד שרירותי במערכת היעד.
״Spring Core ב-JDK9+ חשוף לביצוע קוד מרחוק עקב מעקף עבור CVE-2010-1622. בזמן כתיבת שורות אלה, פגיעות זו אינה תוקנה ב-Spring Framework וקיימת הוכחה ציבורית זמינה לניצול החולשה. מכיוון שיש לנו עצות לתיקון ללקוחות, בחרנו לשתף מידע זה בפומבי״, כותבים בבלוג של praetorian.
Spring היא מסגרת תוכנה לבניית יישומי Java, כולל אפליקציות אינטרנט על גבי פלטפורמת Java EE. בתצורות מסוימות, הניצול של בעיה זו הוא פשוט, מכיוון שהוא מחייב את התוקף רק לשלוח בקשת HTTP מעוצבת למערכת יעד פגיעה.
ב-Spring אישרו את החולשה תחת המספר CVE-2022-22965. ״גרסאות Spring Framework 5.3.18 ו-5.2.20, המטפלות בפגיעות, זמינות כעת. תהליך השחרור של Spring Boot נמצא בעיצומו״, נכתב בבלוג החברה.
״הבעיה דווחה לראשונה ל-VMware מאוחר ביום שלישי בערב. ביום רביעי עבדנו על חקירה, ניתוח, זיהוי תיקון, בדיקות, תוך שאיפה לשחרור חירום ביום חמישי. בינתיים, גם ביום רביעי, פרטים הודלפו בפירוט מלא באינטרנט, וזו הסיבה שאנו מספקים את העדכון הזה לפני המהדורות המתוקנות ודוח ה-CVE.
״הפגיעות משפיעה על יישומי Spring MVC ו-Spring WebFlux הפועלים על JDK 9+. הניצול הספציפי מחייב את האפליקציה לפעול על Tomcat כפריסה של WAR. אם האפליקציה נפרסת כ- Spring Boot להפעלה, כלומר ברירת המחדל, היא אינה חשופה לניצול. עם זאת, אופי הפגיעות הוא כללי יותר, וייתכנו דרכים אחרות לנצל אותה.״
פגיעות ביצוע קוד מרחוק (RCE) התגלתה במסגרת Spring זמן קצר לאחר שחוקר אבטחה סיני הדליף לזמן קצר הוכחת ניצול (PoC) ב-GitHub - לפני מחיקת חשבונו
פגיעות ביצוע קוד מרחוק (RCE) התגלתה במסגרת Spring זמן קצר לאחר שחוקר אבטחה סיני הדליף לזמן קצר הוכחת ניצול (PoC) ב-GitHub - לפני מחיקת חשבונו.
לפי חברת אבטחת הסייבר Praetorian, הפגם שלא תוקן משפיע על Spring Core ב-Java Development Kit גרסאות 9 ואילך ומהווה מעקף לפגיעות אחרת כ-CVE-2010-1622, המאפשרת לתוקף לא מאומת להפעיל קוד שרירותי במערכת היעד.
״Spring Core ב-JDK9+ חשוף לביצוע קוד מרחוק עקב מעקף עבור CVE-2010-1622. בזמן כתיבת שורות אלה, פגיעות זו אינה תוקנה ב-Spring Framework וקיימת הוכחה ציבורית זמינה לניצול החולשה. מכיוון שיש לנו עצות לתיקון ללקוחות, בחרנו לשתף מידע זה בפומבי״, כותבים בבלוג של praetorian.
Spring היא מסגרת תוכנה לבניית יישומי Java, כולל אפליקציות אינטרנט על גבי פלטפורמת Java EE. בתצורות מסוימות, הניצול של בעיה זו הוא פשוט, מכיוון שהוא מחייב את התוקף רק לשלוח בקשת HTTP מעוצבת למערכת יעד פגיעה.
ב-Spring אישרו את החולשה תחת המספר CVE-2022-22965. ״גרסאות Spring Framework 5.3.18 ו-5.2.20, המטפלות בפגיעות, זמינות כעת. תהליך השחרור של Spring Boot נמצא בעיצומו״, נכתב בבלוג החברה.
״הבעיה דווחה לראשונה ל-VMware מאוחר ביום שלישי בערב. ביום רביעי עבדנו על חקירה, ניתוח, זיהוי תיקון, בדיקות, תוך שאיפה לשחרור חירום ביום חמישי. בינתיים, גם ביום רביעי, פרטים הודלפו בפירוט מלא באינטרנט, וזו הסיבה שאנו מספקים את העדכון הזה לפני המהדורות המתוקנות ודוח ה-CVE.
״הפגיעות משפיעה על יישומי Spring MVC ו-Spring WebFlux הפועלים על JDK 9+. הניצול הספציפי מחייב את האפליקציה לפעול על Tomcat כפריסה של WAR. אם האפליקציה נפרסת כ- Spring Boot להפעלה, כלומר ברירת המחדל, היא אינה חשופה לניצול. עם זאת, אופי הפגיעות הוא כללי יותר, וייתכנו דרכים אחרות לנצל אותה.״
