Kritische Sicherheitslücke im Spring-Framework

Im Quelloffenen Java-Framework Spring sind drei Sicherheitslücken aufgetreten, welche den Java Development Kit Version 9 und höher betreffen und damit auch andere Produkte betreffen können.

Der Hersteller hat unter folgendem Link Informationen dazu veröffentlicht: https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

CVE-2022-22965 - Spring4Shell:

Hierbei handelt es sich um eine Zero-Day Vulnerability, welche zu einer Remote Code Execution führen kann. Diese benötigt mehrere Grundlagen zur Ausführung, jedoch kann jedes System mit dem Java Development Kit Version 9 und höher betroffen sein.
https://tanzu.vmware.com/security/cve-2022-22965

CVE-2022-22963:

Bei dieser Sicherheitslücke ist die Spring Cloud Function betroffen. Bei den Versionen 3.1.6, 3.2.2 und älteren Versionen kann ein Zugriff auf die lokalen Ressourcen gewonnen werden.
https://tanzu.vmware.com/security/cve-2022-22963

CVE-2022-22950:

Im Spring Framework der Versionen 5.3.0 – 5.3.16 und älteren Versionen ist es möglich, über manuell generierte SpEL-Ausdrücke ein DOS (Denial-of-Service) durchzuführen.
https://tanzu.vmware.com/security/cve-2022-22950

Sie haben Fragen?

Gern senden wir Ihnen weitere Informationen oder beraten Sie individuell in einem Termin.

Füllen Sie hierfür das Formular aus.

Einwilligungserklärung Datenschutz

Mit Setzen des Häkchens im unten stehenden Kontrollkasten erklären Sie sich einverstanden, dass die von Ihnen angegebenen Daten elektronisch erhoben und gespeichert werden. Ihre Daten werden dabei nur streng zweckgebunden zur Bearbeitung und Beantwortung Ihrer Anfrage genutzt. Diese Einwilligung können Sie jederzeit durch Nachricht an uns widerrufen. Im Falle des Widerrufs werden Ihre Daten umgehend gelöscht. Weitere Informationen entnehmen Sie bitte der Datenschutzerklärung.