Spring4Shell: nová zranitelnost Javy ve Spring

1. 4. 2022

Autor: Daniel Christensen

Včera byly zveřejněny detaily nové závažné vzdálené zranitelnosti v Javě při použití frameworku Spring s názvem Spring4Shell. Jedná se o chybu CVE-2022–22965 ve Spring Core, všichni s JDK 9 a novější jsou zranitelní. Objevena byla také o něco méně závažná chyba CVE-2022–22963 v Spring Cloud Function.

Obou zranitelností je možné zneužít k vzdálenému spuštění libovolného kódu. Spring vydal opravené verze Spring Framework 5.3.18 a 5.2.20 a také Spring Boot 2.6.6 a 2.5.12, které závisí na opravené verzi frameworku 5.3.18. Opravené verze Spring Cloud Function jsou 3.1.7 a 3.2.3.

(upozornil Petr Sakař)

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

1. 4. 2022 17:58

Filip Jirsák

Stříbrný podporovatel

Ten JShell do JDK 9 přidávali úplně zbytečně, evidentně máme dost shellů v Javě už dávno – nejdřív log4j2, teď Spring… Každopádně u log4j2 jsem si říkal, že moc používanějších knihoven už nebude, ale Spring je teda ještě jiná liga.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 4. 2022 18:14

L.

Stříbrný podporovatel

Ještě že vím, jaké je dneska datum! :-D
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 4. 2022 18:18

Fík

Zlatý podporovatel

Bohužel to nemá s datem nic společného.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 4. 2022 21:50

L.

Stříbrný podporovatel

Vždyť se podívej na ten obrázek nakreslený dětskou rukou a dvakrát podtržené "hell". Myslíš, že by někdo dával něco takového k seriózní zprávě? :-D
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 4. 2022 1:30

Uncaught ReferenceError:

se podívej na zdrojové odkazy, už pár dní se to řeší a první patche se objevili 31.3. To, že se o tom na root.cz objeví zprávička 1.4., neznamená to, že to i 1.4. vzniklo...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 4. 2022 8:14

L.

Stříbrný podporovatel

Apríl!!! :-D :-D :-D
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 4. 2022 20:30

bez přezdívky

u mna to uz niekto skusal, len nechapem, preco je za "=" iba "0", cakal by som tam nejake URL na externe jar-ko.

192.241.214.18 - - [01/Apr/2022:03:37:48 +0200] "GET /?class.module.classLoader.URLs%5B0%5D=0 HTTP/1.1" 200 12154 "-" "Mozilla/5.0 zgrab/0.x"
dalsie IP su: 192.241.225.237, 139.162.172.111

este pripominam, ze aplikacie, ktore bezia ako spustitelne Spring Boot jar-ko by nemali byt zranitelne.
zdroj:
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement#am-i-impacted
1. 4. 2022, 20:30 editováno autorem komentáře
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 4. 2022 5:17

Petr Sakař

Tipuji to na testovani jestli je server vulnerable - pokud ano, bude mit response urcitou delku / obsah

U me jsou to IP 192.241.225.206 a 134.122.34.12
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 4. 2022 18:24

wabi

"ze aplikacie, ktore bezia ako spustitelne Spring Boot jar-ko by nemali byt zranitelne."

To je poměrně zjednodušující. Zadokumentovaná ukázka zneužití sice skutečně využívá vlastností Tomcat classloaderu, ale chyba spočívá v tom, že je vůbec možnost se na classloader dostat. Ostatně hned v následujícím odstavci to píší:

"The vulnerability involves ClassLoader access, and therefore in addition to the specific attack reported with a Tomcat specific ClassLoader, other attacks may be possible against a different custom ClassLoader."

Je možné, že class-loader použitý při zabalení spring boot aplikace do spustitelného jaru zneužít nejde (hrál jsem si s tím pár hodin a nic jsem nenašel, ale nejsem bezpečnostní specialista), ale spoléhat se na to je časovaná bomba.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 4. 2022 5:38

Petr Sakař

Apache Tomcat projekt vydal nove verze 8.5.78, 9.0.62, 10.0.20 s opravou pro CVE-2022-22965 Spring Framework vulnerability (has hardened class loader to provide a mitigation for CVE-2022-22965)

https://tomcat.apache.org/