Lorg iad so-leòntachd ann am Frèam an Earraich

O chionn ghoirid bhris an naidheachd sin chaidh so-leòntachd èiginneach den t-seòrsa latha neoni a lorg anns a' mhodal Spring Core air a chuir air adhart mar phàirt de Fhrèam an Earraich, a leigeas le neach-ionnsaigh iomallach, gun dearbhadh an còd aca a chuir gu bàs air an fhrithealaiche.

A rèir cuid de thuairmsean, modal Spring Core air a chleachdadh ann an 74% de thagraidhean Java. Tha an cunnart bho so-leòntachd air a lughdachadh leis nach eil ann ach tagraidhean sin cleachd an nota "@RequestMapping" guLe bhith a’ ceangal luchd-làimhseachaidh iarrtasan agus a’ cleachdadh paramadair foirm lìn a’ ceangal ann an cruth “name=value” (POJO, Plain Old Java Object), seach JSON/XML, tha iad buailteach ionnsaigh a thoirt orra. Chan eil e soilleir fhathast dè na h-aplacaidean agus frèaman Java a tha fo bhuaidh na cùise.

Tha an so-leòntachd seo, leis an ainm “Spring4Shell”, a’ gabhail brath air in-stealladh clas a’ leantainn gu RCE slàn agus tha e gu math dona. Chaidh an t-ainm “Spring4Shell” a thaghadh leis gu bheil Spring Core na leabharlann uile-làthaireach, coltach ri log4j a shìolaich so-leòntachd mì-chliùiteach Log4Shell.

Tha sinn den bheachd gu bheil luchd-cleachdaidh a tha a’ ruith JDK dreach 9 agus nas fhaide air adhart ann an cunnart bho ionnsaigh RCE. Tha buaidh air a h-uile dreach de Spring Core.

Tha ro-innleachdan ann gus an ionnsaigh a lasachadh agus tha sinn den bheachd nach eil a h-uile seirbheisiche Earraich gu riatanach so-leònte, a rèir nithean eile air an deach beachdachadh gu h-ìosal. Thuirt sin, tha sinn an-dràsta a’ moladh gun cuir a h-uile neach-cleachdaidh lasachaidhean an sàs no ùrachadh ma tha iad a’ cleachdadh Spring Core.

Chan urrainnear an so-leòntachd a chleachdadh ach nuair a bhios tu a’ cleachdadh Java/JDK 9 no tionndadh nas ùire. Tha an so-leòntachd a’ bacadh liosta dhubh nan raointean “class”, “module”, agus “classLoader” no cleachdadh liosta geal soilleir de raointean ceadaichte.

An duilgheadas mar thoradh air a’ chomas air dìon a sheachnadh an-aghaidh so-leòntachd CVE-2010-1622, Chàir sinn ann am Frèam an Earraich ann an 2010 agus co-cheangailte ri coileanadh an neach-làimhseachaidh classLoader nuair a thathar a’ parsadh paramadairean iarrtas.

Tha obrachadh a’ bhuannachd air a lughdachadh gu bhith a’ cur iarrtas cleis na paramadairean “class.module.classLoader.resources.context.parent.pipeline.first.*”, agus bidh an giullachd, nuair a bhios tu a’ cleachdadh “WebappClassLoaderBase”, a’ leantainn gu fios gu clas AccessLogValve.

Leigidh an clas ainmichte leat an logger a rèiteachadh gus faidhle jsp neo-riaghailteach a chruthachadh ann an àrainneachd freumh Apache Tomcat agus an còd a shònraich an neach-ionnsaigh a sgrìobhadh chun fhaidhle seo. Tha am faidhle cruthaichte ri fhaighinn airson iarrtasan dìreach agus faodar a chleachdadh mar shlige lìn. Gus ionnsaigh a thoirt air tagradh so-leònte ann an àrainneachd Apache Tomcat, tha e gu leòr iarrtas a chuir le paramadairean sònraichte a ’cleachdadh goireas curl.

An duilgheadas air a bheilear a’ beachdachadh ann an Spring Core gun a bhith air a mheasgadh le so-leòntachd a chaidh ainmeachadh às ùr CVE-2022-22963 agus CVE-2022-22950. Bidh a 'chiad iris a' toirt buaidh air pasgan Spring Cloud agus cuideachd a 'ceadachadh coileanadh còd iomallach (cleachdadh) a choileanadh. Tha CVE-2022-22963 stèidhichte ann an fiosan Spring Cloud 3.1.7 agus 3.2.3.

Tha an dàrna iris CVE-2022-22950 an làthair ann an Spring Expression, faodar a chleachdadh gus ionnsaighean DoS a chuir air bhog, agus tha e stèidhichte ann an Spring Framework 5.3.17. Is e so-leòntachd bunaiteach a tha seo. Chan eil luchd-leasachaidh Spring Framework air aithris sam bith a dhèanamh fhathast mun so-leòntachd ùr agus chan eil iad air fuasgladh fhoillseachadh.

Mar cheum dìon sealach, thathas a’ moladh gun cleachd thu liosta dhubh de pharamadairean ceiste neo-dhligheach sa chòd agad.

Fhathast chan eil e soilleir dè cho tubaisteach sa dh’ fhaodadh na builean a bhith den chùis ainmichte agus am bi na h-ionnsaighean cho mòr agus a tha iad ann an cùis so-leòntachd Log4j 2. Chaidh an so-leòntachd a chòdachadh Spring4Shell, CVE-2022-22965, agus ùrachaidhean Spring Framework 5.3.18 agus 5.2.20 air an leigeil ma sgaoil gus dèiligeadh ri so-leòntachd.

Tha bad a-nis ri fhaighinn air 31 Màrt 2022 anns na dreachan Earrach as ùire a chaidh fhoillseachadh 5.3.18 agus 5.2.20. Tha sinn a 'moladh a h-uile neach-cleachdaidh ùrachadh. Dhaibhsan nach urrainn ùrachadh, tha na lasachaidhean a leanas comasach:

Stèidhichte air post Praetorian a’ dearbhadh gu bheil RCE ann an Spring Core, is e an dòigh-obrach a thathar a’ moladh an-dràsta a bhith a’ gleusadh DataBinder le bhith a’ cur liosta dhubh de phàtranan achaidh so-leònte a dh’ fheumar airson an cleachdadh.

Mu dheireadh tha tha ùidh agad barrachd fhaighinn a-mach mu dheidhinn mun nota, faodaidh tu sgrùdadh a dhèanamh air mion-fhiosrachadh Anns a ’cheangal a leanas.


Tha susbaint an artaigil a ’cumail ri na prionnsapalan againn de moraltachd deasachaidh. Gus aithris a dhèanamh air mearachd cliog an seo.

Bi a 'chiad fhear a thog beachd

Fàg do bheachd

Seòladh-d cha tèid fhoillseachadh.

*

*

  1. Uallach airson an dàta: Miguel Ángel Gatón
  2. Adhbhar an dàta: Smachd air SPAM, riaghladh bheachdan.
  3. Dìleab: Do chead
  4. Conaltradh an dàta: Cha tèid an dàta a thoirt do threas phàrtaidhean ach a-mhàin fo dhleastanas laghail.
  5. Stòradh dàta: Stòr-dàta air a chumail le Occentus Networks (EU)
  6. Còraichean: Aig àm sam bith faodaidh tu am fiosrachadh agad a chuingealachadh, fhaighinn air ais agus a dhubhadh às.