Nahita fahalemena tao amin'ny Lohataona Framework izy ireo

Vao tsy ela akory izay ny vaovao no namaky izany hita ny faharefoana manakiana amin'ny karazana andro aotra ao amin'ny module Lohataona Core nalefa ho ampahany amin'ny Lohataona Framework, izay ahafahan'ny mpanafika lavitra tsy voamarina manatanteraka ny kaody ao amin'ny mpizara.

Araka ny tombantombana sasany, ny Module Spring Core ampiasaina amin'ny 74% amin'ny fampiharana Java. Ny loza ateraky ny vulnerability dia mihena noho ny zava-misy fa ny fampiharana izany ihany ampiasao ny fanamarihana "@RequestMapping" amin'nyAmin'ny alàlan'ny fampifandraisana ireo mpiandraikitra ny fangatahana sy ny fampiasana ny mari-pamantarana amin'ny endrika tranonkala mifamatotra amin'ny endrika “name=value” (POJO, Plain Old Java Object), fa tsy JSON/XML, dia mety ho tratran'ny fanafihana izy ireo. Tsy mbola fantatra mazava hoe iza amin'ireo fampiharana sy rafitra Java no voakasik'ilay olana.

Ity vulnerable ity, antsoina hoe "Spring4Shell", dia manararaotra ny tsindrona kilasy mitondra mankany amin'ny RCE feno ary tena matotra. Ny anarana hoe "Spring4Shell" dia nofidina satria ny Spring Core dia tranomboky hatraiza hatraiza, mitovy amin'ny log4j izay niteraka ny vulnerability Log4Shell malaza.

Mino izahay fa ireo mpampiasa mampiasa JDK version 9 sy aoriana dia mora voan'ny fanafihana RCE. Voakasika avokoa ny dikan-teny rehetra an'ny Spring Core.

Misy paikady hanalefahana ny fanafihana ary mino izahay fa tsy voatery ho marefo avokoa ny mpizara Lohataona, miankina amin'ny antony hafa resahina etsy ambany. Izany hoe, manoro hevitra izahay amin'izao fotoana izao fa ny mpampiasa rehetra dia mampihatra fanalefahana na fanavaozana raha mampiasa Spring Core izy ireo.

Ny fanararaotana ny vulnerability dia azo atao raha tsy mampiasa Java/JDK 9 na dikan-teny vaovao. Ny vulnerability dia manakana ny lisitra maintin'ny saha "class", "module", ary "classLoader" na ny fampiasana lisitra fotsy mibaribary amin'ny saha navela.

Ny olana dia noho ny fahafahana mandingana ny fiarovana amin'ny vulnerability CVE-2010-1622, Namboarina tao amin'ny Framework Lohataona tamin'ny taona 2010 ary mifandray amin'ny fanatanterahana ny mpitantana classLoader rehefa mamaka ny mari-pamantarana fangatahana.

Ny fiasan'ny fitrandrahana dia ahena amin'ny fandefasana fangatahana cmiaraka amin'ny mari-pamantarana "class.module.classLoader.resources.context.parent.pipeline.first.*", ny fanodinana azy, rehefa mampiasa "WebappClassLoaderBase", dia mitondra mankany amin'ny kilasy AccessLogValve.

Ny kilasy voatondro dia ahafahanao manitsy ny logger hamorona rakitra jsp tsy misy dikany ao amin'ny tontolon'ny fakan'ny Apache Tomcat ary manoratra ny kaody voatondron'ny mpanafika amin'ity rakitra ity. Ny rakitra noforonina dia azo ampiasaina ho an'ny fangatahana mivantana ary azo ampiasaina ho shell web. Mba hanafika fampiharana marefo ao amin'ny tontolon'ny Apache Tomcat dia ampy ny mandefa fangatahana miaraka amin'ny masontsivana sasany amin'ny fampiasana ny curl utility.

Ny olana dinihina ao amin'ny Spring Core tsy afangaro amin'ny vulnerability vao fantatra CVE-2022-22963 sy CVE-2022-22950. Ny olana voalohany dia misy fiantraikany amin'ny fonosana Spring Cloud ary mamela ny famonoana kaody lavitra (mitrandraka) ho tratra. Ny CVE-2022-22963 dia raikitra amin'ny famoahana Spring Cloud 3.1.7 sy 3.2.3.

Ny olana faharoa CVE-2022-22950 dia hita ao amin'ny Spring Expression, azo ampiasaina hanombohana fanafihana DoS, ary raikitra ao amin'ny Spring Framework 5.3.17. Ireo dia vulnerability tena samy hafa. Ny mpamorona Spring Framework dia tsy mbola nanao fanambarana momba ny vulnerability vaovao ary tsy namoaka fanamboarana.

Amin'ny maha fepetra fiarovana vonjimaika, dia asaina mampiasa lisitra mainty misy masontsivana fanontaniana tsy mety ao amin'ny code-nao ianao.

nefa tsy fantatra mazava ny mety ho voka-dratsiny momba ny olana fantatra ary raha ho goavana toy ny tamin'ny trangan'ny vulnerability ao amin'ny Log4j 2 ny fanafihana. Ny vulnerability dia nomena anarana hoe Spring4Shell, CVE-2022-22965, ary navoaka ny fanavaozana Spring Framework 5.3.18 sy 5.2.20. mba hamahana ny vulnerability.

Misy paty izao azo alaina amin'ny 31 martsa 2022 amin'ny dikan-teny lohataona farany 5.3.18 sy 5.2.20. Manoro hevitra ny mpampiasa rehetra izahay mba hanavao. Ho an'ireo izay tsy afaka manavao dia azo atao ireto fanalefahana manaraka ireto:

Mifototra amin'ny lahatsoratr'i Praetorian manamafy ny fisian'ny RCE ao amin'ny Lohataona Core, ny fomba atolotra amin'izao fotoana izao dia ny fametahana ny DataBinder amin'ny alàlan'ny fampidirana lisitra maintin'ireo lamin'asa marefo ilaina amin'ny fitrandrahana.

Farany eny mahaliana anao ny hahafantatra bebe kokoa momba izany momba ny naoty, azonao atao ny manamarina ny antsipiriany Ao amin'ity rohy manaraka ity.


Ny atin'ny lahatsoratra dia manaraka ny fitsipiky ny etika fanonta. Raha hitatitra tsindry diso eto.

Aoka ho voalohany ny fanehoan-kevitra

Avelao ny hevitrao

Ny adiresy email dia tsy ho namoaka.

*

*

  1. Tompon'andraikitra amin'ny data: Miguel Ángel Gatón
  2. Tanjon'ny angona: Control SPAM, fitantanana hevitra.
  3. Legitimation: Ny fanekenao
  4. Fifandraisana momba ny angona: Tsy hampitaina amin'ny antoko fahatelo ny angona raha tsy amin'ny adidy ara-dalàna.
  5. Fitehirizana angona: Database nomen'ny Occentus Networks (EU)
  6. Zo: Amin'ny fotoana rehetra, azonao atao ny mametra, mamerina ary mamafa ny mombamomba anao.