त्यांना स्प्रिंग फ्रेमवर्कमध्ये एक भेद्यता आढळली

अलीकडेच बातमीने ती फोडली शून्य दिवस प्रकाराची गंभीर असुरक्षा आढळून आली मॉड्यूल मध्ये स्प्रिंग फ्रेमवर्कचा भाग म्हणून स्प्रिंग कोर पाठवले, जे दूरस्थ, अप्रमाणित आक्रमणकर्त्याला त्यांचा कोड सर्व्हरवर कार्यान्वित करण्यास अनुमती देते.

काही अंदाजानुसार, स्प्रिंग कोर मॉड्यूल 74% Java अनुप्रयोगांमध्ये वापरले. असुरक्षिततेचा धोका केवळ त्या अनुप्रयोगांमुळे कमी होतो यासाठी "@RequestMapping" भाष्य वापराविनंती हँडलर्सना हुक करून आणि JSON/XML ऐवजी “name=value” (POJO, Plain Old Java Object) फॉरमॅटमध्ये वेब फॉर्म पॅरामीटर बाइंडिंग वापरून, ते आक्रमणास संवेदनशील असतात. कोणते Java अनुप्रयोग आणि फ्रेमवर्क या समस्येमुळे प्रभावित झाले आहेत हे अद्याप स्पष्ट नाही.

"Spring4Shell" नावाची ही भेद्यता, क्लास इंजेक्शनचा फायदा घेते ज्यामुळे संपूर्ण RCE होते आणि ते खूप गंभीर आहे. "Spring4Shell" हे नाव निवडले गेले कारण Spring Core ही सर्वव्यापी लायब्ररी आहे, log4j सारखीच आहे जी कुप्रसिद्ध Log4Shell असुरक्षा निर्माण करते.

आमचा विश्वास आहे की JDK आवृत्ती 9 आणि नंतरचे वापरकर्ते RCE हल्ल्याला असुरक्षित आहेत. स्प्रिंग कोरच्या सर्व आवृत्त्या प्रभावित आहेत.

हल्ला कमी करण्यासाठी धोरणे आहेत आणि आमचा विश्वास आहे की खाली चर्चा केलेल्या इतर घटकांवर अवलंबून, सर्व स्प्रिंग सर्व्हर अपरिहार्यपणे असुरक्षित नाहीत. ते म्हणाले, आम्ही सध्या शिफारस करतो की सर्व वापरकर्ते स्प्रिंग कोर वापरत असल्यास कमी करणे किंवा अपग्रेड करणे लागू करा.

Java/JDK 9 वापरतानाच भेद्यतेचे शोषण शक्य आहे किंवा नवीन आवृत्ती. असुरक्षा "वर्ग", "मॉड्यूल" आणि "क्लासलोडर" फील्डची ब्लॅकलिस्ट करणे किंवा परवानगी असलेल्या फील्डची स्पष्ट व्हाइटलिस्ट वापरणे अवरोधित करते.

समस्या CVE-2010-1622 असुरक्षा विरुद्ध संरक्षण बायपास करण्याच्या क्षमतेमुळे आहे, 2010 मध्ये स्प्रिंग फ्रेमवर्कमध्ये निश्चित केले गेले आणि विनंती पॅरामीटर्स पार्स करताना क्लासलोडर हँडलरच्या अंमलबजावणीशी संबंधित.

शोषणाचे ऑपरेशन सी विनंती पाठवण्यासाठी कमी केले जाते"class.module.classLoader.resources.context.parent.pipeline.first.*" पॅरामीटर्ससह, ज्याची प्रक्रिया, "WebappClassLoaderBase" वापरताना, AccessLogValve क्लासला कॉल करते.

निर्दिष्ट वर्ग तुम्हाला Apache Tomcat च्या रूट वातावरणात एक अनियंत्रित jsp फाइल तयार करण्यासाठी लॉगर कॉन्फिगर करण्याची आणि आक्रमणकर्त्याने निर्दिष्ट केलेला कोड या फाइलवर लिहिण्याची परवानगी देतो. तयार केलेली फाइल थेट विनंत्यांसाठी उपलब्ध आहे आणि ती वेब शेल म्हणून वापरली जाऊ शकते. Apache Tomcat वातावरणात असुरक्षित ऍप्लिकेशनवर हल्ला करण्यासाठी, कर्ल युटिलिटी वापरून विशिष्ट पॅरामीटर्ससह विनंती पाठवणे पुरेसे आहे.

स्प्रिंग कोर मध्ये विचाराधीन समस्या नव्याने ओळखल्या गेलेल्या असुरक्षांसोबत गोंधळून जाऊ नये CVE-2022-22963 आणि CVE-2022-22950. पहिली समस्या स्प्रिंग क्लाउड पॅकेजवर परिणाम करते आणि रिमोट कोड एक्झिक्यूशन (शोषण) साध्य करण्यास देखील अनुमती देते. CVE-2022-22963 स्प्रिंग क्लाउड 3.1.7 आणि 3.2.3 रिलीझमध्ये निश्चित केले आहे.

दुसरा अंक CVE-2022-22950 हा स्प्रिंग एक्स्प्रेशनमध्ये उपस्थित आहे, त्याचा वापर DoS हल्ला सुरू करण्यासाठी केला जाऊ शकतो आणि स्प्रिंग फ्रेमवर्क 5.3.17 मध्ये निश्चित केला आहे. या मूलभूतपणे भिन्न भेद्यता आहेत. स्प्रिंग फ्रेमवर्क विकसकांनी अद्याप नवीन असुरक्षिततेबद्दल कोणतेही विधान केले नाही आणि निराकरण केले नाही.

तात्पुरता संरक्षण उपाय म्हणून, तुम्ही तुमच्या कोडमध्ये अवैध क्वेरी पॅरामीटर्सची ब्लॅकलिस्ट वापरण्याची शिफारस केली जाते.

तरीही त्याचे परिणाम किती भयंकर असू शकतात हे स्पष्ट नाही ओळखल्या गेलेल्या समस्येचे आणि Log4j 2 मधील भेद्यतेच्या बाबतीत हल्ले तितकेच मोठे असतील की नाही. असुरक्षिततेला Spring4Shell, CVE-2022-22965 असे कोडनेम देण्यात आले आहे आणि स्प्रिंग फ्रेमवर्क 5.3.18 आणि 5.2.20 अद्यतने जारी करण्यात आली आहेत. असुरक्षा दूर करण्यासाठी.

एक पॅच आता 31 मार्च 2022 पर्यंत नवीनतम रिलीझ झालेल्या स्प्रिंग आवृत्ती 5.3.18 आणि 5.2.20 मध्ये उपलब्ध आहे. आम्ही सर्व वापरकर्त्यांना अपग्रेड करण्याची शिफारस करतो. अपग्रेड करण्यात अक्षम असलेल्यांसाठी, खालील कमी करणे शक्य आहे:

स्प्रिंग कोअरमध्ये आरसीईच्या उपस्थितीची पुष्टी करणार्‍या प्रेटोरियनच्या पोस्टच्या आधारावर, सध्या शिफारस केलेली पद्धत म्हणजे शोषणासाठी आवश्यक असलेल्या असुरक्षित फील्ड पॅटर्नची ब्लॅकलिस्ट जोडून डेटाबाइंडर पॅच करणे.

शेवटी होय तुम्हाला त्याबद्दल अधिक जाणून घेण्यात स्वारस्य आहे नोट बद्दल, आपण तपशील तपासू शकता पुढील लिंकवर


टिप्पणी करणारे सर्वप्रथम व्हा

आपली टिप्पणी द्या

आपला ई-मेल पत्ता प्रकाशित केला जाणार नाही. आवश्यक फील्ड चिन्हांकित केले आहेत *

*

*

  1. डेटा जबाबदार: मिगुएल Áन्गल गॅटन
  2. डेटाचा उद्देशः नियंत्रण स्पॅम, टिप्पणी व्यवस्थापन.
  3. कायदे: आपली संमती
  4. डेटा संप्रेषण: कायदेशीर बंधन वगळता डेटा तृतीय पक्षास कळविला जाणार नाही.
  5. डेटा संग्रहण: ओकेन्टस नेटवर्क (EU) द्वारा होस्ट केलेला डेटाबेस
  6. अधिकारः कोणत्याही वेळी आपण आपली माहिती मर्यादित, पुनर्प्राप्त आणि हटवू शकता.