Spring, ‘Spring4Shell’ zero-day uzaktan kod yürütme güvenlik açığını düzeltmek için acil durum güncellemeleri yayınladı. Dün, Spring Framework’te ‘Spring4Shell’ adlı zero-day uzaktan kod yürütme güvenlik açığı için bir istismar kodu GitHub’da yayınlandı ve ardından kaldırıldı. Bu arada kod diğer depolarda hızla paylaşıldı sonrasında güvenlik araştırmacıları tarafından test edildi ve doğrulandı.
Güvenlik açığı CVE-2022-22965 olarak izlenirken JDK 9’daki Spring MVC, Spring WebFlux uygulamalarının etkilediğini açıklayan bir güvenlik danışma belgesi yayınladı. Güvenlik açığından yararlanılması için ayrıca, WAR olarak paketlenmiş bir uygulama olan Apache Tomcat ve spring-webmvcveya spring-webfluxbağımlılıkları gerekiyor. Zafiyet, JDK 9+ üzerinde çalışan Spring MVC ve Spring WebFlux uygulamalarını etkiliyor.
Yeni güvenlik açığını gideren Spring sürümleri aşağıda listelenmiştir ve Spring Boot hariç tümü Maven Central’da mevcuttur:
- Spring Framework 5.3.18 and Spring Framework 5.2.20
- Spring Boot 2.5.12
- Spring Boot 2.6.6 (not available yet)
Kaynak: bleepingcomputer.com
