Spring est un framework de développement d’applications et un conteneur de contrôle inversé pour les applications Java – les fonctionnalités de base de la plate-forme peuvent être utilisées par n’importe quelle application Java, mais il existe également des extensions pour développer des applications Web sur la plate-forme Java EE (Enterprise Edition). Malheureusement, une grave faille de sécurité a été découverte dans la plateforme, permettant à tout code malveillant d’être exécuté à distance.
Spring4Shell – Une vulnérabilité grave a été découverte dans le Java Spring Framework.
VMWare (responsable du framework Spring) devait être informé de l’affaire mardi soir, mais le processus de correction et d’identification officielle de la vulnérabilité avec le numéro CVE n’a jamais été achevé – nous pouvons donc dire que nous avons affaire ici à la so -appelée vulnérabilité 0-day (le travailleur s’appelait Spring4Shell). Le problème est si grave que le framework est utilisé dans de nombreuses plates-formes logicielles d’entreprise basées sur Java.
La vulnérabilité a été révélée publiquement après la publication d’un exploit de preuve de concept (PoC) par un chercheur chinois en sécurité. Cependant, l’affaire était si mystérieuse qu’il a supprimé son compte Twitter immédiatement après la découverte de la vulnérabilité.
Will Dormann, chercheur en sécurité au CERT/CC, a rapidement confirmé que le code d’exploitation préparé fonctionnait réellement. Cependant, il existe des divergences sur les conditions d’infection d’une machine.
Spring.io corrige la vulnérabilité Spring4Shell
VMWare a récemment officiellement confirmé la présence d’une vulnérabilité dans la plate-forme (tous les détails peuvent être trouvés ici). On sait que nous parlons de la plate-forme Java Development Kit (JDK) version 9 et plus récente et des exigences spécifiques pour l’application finie (du moins en théorie, car il peut y avoir d’autres façons de l’utiliser qui n’ont pas encore été divulguées) .
La vulnérabilité a reçu le numéro CVE-2022-22965 en tant que vulnérabilité critique. Dans le même temps, les développeurs ont publié de nouvelles versions de Sprimg Framework 5.3.18/5.2.20 et Spring Boot 2.5.12/2.6.6, qui devraient corriger la vulnérabilité.
Source : Service de sécurité, Securak, Vesna.
Laisser un commentaire