Spring, bir yama yayınlanmadan önce çevrimiçi olarak erken sızdırılan ‘Spring4Shell’ sıfırıncı gün uzaktan kod yürütme güvenlik açığını düzeltmek için acil durum güncellemeleri yayınladı.
Dün, sıfır gün için bir istismar Spring Framework’te uzaktan kod yürütme güvenlik açığı ‘Spring4Shell’ olarak adlandırılan, GitHub’da kısaca yayınlandı ve ardından kaldırıldı.
Bununla birlikte, İnternette hiçbir şey gizli kalmadığından, kod diğer depolarda hızla paylaşıldı ve güvenlik araştırmacıları tarafından test edildi ve bunun yeni bir güvenlik açığı için meşru bir istismar olduğunu doğruladı.
Bugün Spring, güvenlik açığının artık CVE-2022-22965 olarak izlendiğini ve JDK 9’daki Spring MVC ve Spring WebFlux uygulamalarını etkilediğini açıklayan bir güvenlik danışma belgesi yayınladı.
Güvenlik açığından yararlanılması için ayrıca WAR olarak paketlenmiş bir uygulama olan Apache Tomcat ve spring-webmvc
veya spring-webflux
bağımlılıklar.
“Güvenlik açığı, JDK 9+ üzerinde çalışan Spring MVC ve Spring WebFlux uygulamalarını etkiliyor. Özel açık, uygulamanın bir WAR dağıtımı olarak Tomcat’te çalışmasını gerektiriyor”, diyor. Bahar uyarısı.
“Uygulama bir Spring Boot yürütülebilir jar olarak dağıtılırsa, yani varsayılan olarak, bu istismara karşı savunmasız değildir. Ancak, güvenlik açığının doğası daha geneldir ve bundan yararlanmanın başka yolları olabilir.”
Spring, güvenlik açığının Salı günü AntGroup FG’den meizjm3i odeplutos tarafından sorumlu bir şekilde kendilerine açıklandığını ve bugün yayınlanması beklenen bir düzeltmeyi geliştirip test ettiklerini söylüyor.
Ancak, bir güvenlik araştırmacısı Çarşamba günü tüm ayrıntıları çevrimiçi olarak yayınladıktan sonra, yamanın yayınlanmasını planlanan sürümden önce ileri ittiler.
Yeni güvenlik açığını gideren Spring sürümleri aşağıda listelenmiştir ve Spring Boot hariç tümü Maven Central’da mevcuttur:
- Spring Framework 5.3.18 ve Spring Framework 5.2.20
- Yaylı Önyükleme 2.5.12
- Spring Boot 2.6.6 (henüz mevcut değil)
Spring Boot 2.6.6, önümüzdeki birkaç saat içinde piyasaya sürülmelidir.
Güvenlik açığından yararlanılması için belirli gereksinimler olsa da, Will DormannCERT/CC’de bir güvenlik açığı analisti, hatta örnek kodu buldu spring.io’dan savunmasızdı.
Geliştiriciler genellikle kendi uygulamaları için şablon olarak örnek kod kullandıklarından, çevrimiçi olarak erişilebilen birçok güvenlik açığı bulunan uygulama olabilir.
Spring4Shell tarayıcıları zaten oluşturulduğundan ve güvenlik açığından halihazırda aktif olarak yararlanıldığına dair raporlar olduğundan, Spring yöneticileri bu güvenlik güncellemelerini mümkün olan en kısa sürede dağıtmaya öncelik vermelidir.