Spring4Shell

[KonradN]

Jetzt scheint es eine kritische Sicherheitslücke zum Spring Framework zu geben. Da es ein recht verbreitetes Framework ist, gebe ich hier auch einmal ein paar Links dazu.

Spring Blog:

Spring Framework RCE, Early Announcement

Level up your Java code and explore what Spring can do for you.

spring.io

Einmal bei Heise ein Beitrag:

Verwirrung um kritische Sicherheitslücke im Umfeld des Spring-Framework

Das Spring-Entwicklerteam stellt Patches für zwei Sicherheitslücken zur Verfügung. Daneben droht jedoch mit Spring4Shell eine weitere Gefahr.

www.heise.de

Weitere Links und wohl ein PoC:

GitHub - BobTheShoplifter/Spring4Shell-POC: Spring4Shell Proof Of Concept/And vulnerable application CVE-2022-22965

Spring4Shell Proof Of Concept/And vulnerable application CVE-2022-22965 - BobTheShoplifter/Spring4Shell-POC

github.com

 

[Oneixee5]

Heute war schon Panik in der Arbeit. Das Problem ist, es gibt noch weiter CVE's in Abhängigkeiten. Im Moment konnten wir keine Version erstellen die nicht irgendwelche CVE's enthält.

 

[KonradN]

Und dann eben noch zugesendet beokmmen aber selbst noch nicht im Detail gesichtet:

SpringShell Vulnerability Exploit Resources - Tools & More | Sonatype

Find a range of resources to describe and resolve the critical software vulnerabilities in the Spring Framework in our Springshell Exploit Resource Center.

de.sonatype.com

Vielleicht ist da ja was interessantes dabei (falls das noch für jemanden akut sein sollte).