Spring4Shell Zero-Day Zafiyeti İçin Acil Güncelleme Yayınlandı
Spring, ‘Spring4Shell’ zero-day uzaktan kod yürütme güvenlik açığını düzeltmek için acil durum güncellemeleri yayınladı. Dün, Spring Framework’te ‘Spring4Shell’ adlı zero-day uzaktan kod yürütme güvenlik açığı için bir istismar kodu GitHub’da yayınlandı ve ardından kaldırıldı. Bu arada kod diğer depolarda hızla paylaşıldı sonrasında güvenlik araştırmacıları tarafından test edildi ve doğrulandı.
Güvenlik açığı CVE-2022-22965 olarak izlenirken JDK 9’daki Spring MVC, Spring WebFlux uygulamalarının etkilediğini açıklayan bir güvenlik danışma belgesi yayınladı. Güvenlik açığından yararlanılması için ayrıca, WAR olarak paketlenmiş bir uygulama olan Apache Tomcat ve spring-webmvc
veya spring-webflux
bağımlılıkları gerekiyor. Zafiyet, JDK 9+ üzerinde çalışan Spring MVC ve Spring WebFlux uygulamalarını etkiliyor.
Yeni güvenlik açığını gideren Spring sürümleri aşağıda listelenmiştir ve Spring Boot hariç tümü Maven Central’da mevcuttur:
- Spring Framework 5.3.18 and Spring Framework 5.2.20
- Spring Boot 2.5.12
- Spring Boot 2.6.6 (not available yet)
Kaynak: bleepingcomputer.com