VMware,bulut bilişim ve sanallaştırma ürününü etkileyen Spring4Shell olarak bilinen kritik uzaktan kod yürütme güvenlik açığı için güvenlik güncellemeleri yayınladı. Resmi olarak CVE-2022-22965 olarak izlenen Spring4Shell, Spring Core Java framework kimlik doğrulaması olmadan yararlanılabilen ve önem derecesi 10 üzerinden 9,8 olan bir uzaktan kod yürütme güvenlik açığı. Zafiyetin istismar edilmesi durumunda hedef sistem üzerinde tam kontrolünün sağlanabiliyor.
Güvenlik uzmanları, Spring Framework’un java developer’lar tarafından çok tercih edilmesinden dolayı daha da büyük endişe duyduklarını belirtiyor. Daha da kötüsü, güvenlik güncellemesi kullanıma sunulmadan önce GitHub’da kavram kanıtı (PoC) açığı sızdırıldı ve bu da kötü niyetli istismar saldırılar olasılığını artırdı.
Kritik kusur, JDK 9+ üzerinde çalışan Spring MVC ve Spring WebFlux uygulamalarını etkiliyor. Kesin sınırlamalar hala araştırılıyor olsa da zafiyetten yararlanmak için uygulamanın bir WAR dağıtımı olarak Tomcat’te çalışması gerekiyor.
Zafiyeti gidermek için aşağıdaki versiyonlara yükseltmeniz gerekiyor
- Spring Framework 5.3.18 and Spring Framework 5.2.20
- Spring Boot 2.5.12
- Spring Boot 2.6.6 (soon to be released)
VMware tarafında aşağıdaki ürünler için güncellemeleri yapmalısınız
- VMware Tanzu Application Service for VMs – versions 2.10 to 2.13
- VMware Tanzu Operations Manager – versions 2.8 to 2.9
- VMware Tanzu Kubernetes Grid Integrated Edition (TKGI) – versions 1.11 to 1.13
VMware, Tanzu Kubernetes Grid Integrated Edition için kalıcı bir düzeltme üzerinde çalıştığını belirtiyor. VMware ayrıca güncellemeler yapılana kadar hafifletici yöntemleride paylaştı.
Kaynak: bleepingcomputer.com