Sehr geehrte Damen und Herren,

in der Spring4Shell wurden Sicherheitslücken entdeckt. 

Wir haben unsere Komponenten basierend auf den aktuell bekannten Informationen geprüft und keine Komponenten identifiziert, welche über die Schwachstellen angreifbar ist.

Details

CVE-2022-22963:

Diese Schwachstelle ist sehr einfach auszunutzen und ermöglicht es einem Angreifer, über einen HTTP-Header namens „spring.cloud.function.routing-expression“ beliebigen Code an Spring Expression Language (SpEL) zu übergeben, da dieser Parameter von der Cloud Function nicht validiert wird. Die Auswirkung dieser Schwachstelle ist sehr hoch, wenn man die Einfachheit der Ausnutzung betrachtet, aber ziemlich gering, wenn man die Verfügbarkeit betrachtet - sie betrifft nur Dienste, die Spring Cloud Function <=3.1.6 (für 3.1.x) und <=3.2.2 (für 3.2.x) verwenden.

Die PDV setzt aktuelle in keiner Komponente die anfällige Spring Cloud Function ein.

CVE-2022-22965:

Die Schwachstelle betrifft Spring MVC- und Spring WebFlux-Anwendungen, welche unter der JDK 9+ laufen. Der spezifische Exploit erfordert, dass die Anwendung auf Tomcat als WAR-Bereitstellung läuft. Wenn die Anwendung als ausführbares Spring Boot.jar bereitgestellt wird, d.h. als Standard, ist sie nicht anfällig für die Schwachstelle.

Die Komponenten der PDV verwenden JDK 8 und nicht das modulare JDK 9, sodass die Sicherheitslücke nicht entsteht.

Weiter Informationen zur Bekanntgabe der Sicherheitslücke entnehmen Sie bitte hier:

Spring4Shell: Security Analysis of the latest Java RCE '0-day' vulnerabilities in Spring | LunaSec

Vielen Dank Ihr PDV-Team