Dhawaan warku wuxuu faafiyay taas nuglaanta halista ah ee nooca maalinta eber ayaa la ogaaday moduleka Spring Core waxa la soo raray iyada oo qayb ka ah Qaabdhismeedka Guga, kaas oo u ogolaanaya fog, weeraryahan aan la aqoonsan inuu ku fuliyo koodka server-ka.
Marka la eego qiyaasaha qaar, moduleka Core Spring loo isticmaalo 74% codsiyada Java. Khatarta nuglaanshaha ayaa la yareeyaa xaqiiqda ah in codsiyada kaliya u isticmaal sharraxaadda "@RequestMapping".Adigoo isku xiraya hawl-wadeennada codsiga iyo adeegsiga cabbirka foomka shabakadda ee ku xidhan qaabka "name=value" (POJO, Plain Old Java Object), halkii ay ka ahaan lahaayeen JSON/XML, waxay u nugul yihiin in la weeraro. Wali ma cadda codsiyada Java iyo qaab-dhismeedka ay khusayso arrintan.
Nuglaantan, oo lagu magacaabo "Spring4Shell", waxay ka faa'iidaysanaysaa duritaanka fasalka taasoo horseedaysa RCE buuxa oo aad u daran. Magaca "Spring4Shell" ayaa la doortay sababtoo ah Spring Core waa maktabad meel walba ku taal, oo la mid ah log4j taas oo dhalisey nuglaanta Log4Shell ee caanka ah.
Waxaan aaminsanahay in isticmaalayaasha ku shaqeeya nooca JDK 9 iyo ka dib ay u nugul yihiin weerarka RCE. Dhammaan noocyada Spring Core waa la saameeyay.
Waxaa jira xeelado lagu yareynayo weerarka waxaana aaminsanahay in dhammaan server-yada gu'ga aysan daruuri ahayn kuwo nugul, iyadoo ku xiran arrimo kale oo hoos looga hadlay. Taasi waxay tidhi, waxaanu hadda ku talinaynaa in dhammaan isticmaalayaashu ay dabaqaan dhimista ama cusboonaysiinta haddii ay isticmaalayaan Spring Core.
Ka faa'iidaysiga nuglaanshaha waa suurtogal kaliya marka la isticmaalayo Java/JDK 9 ama nooc cusub. Nuglaanta ayaa xannibaysa liiska madow ee meelaha "class", "module", iyo "classloader" ama isticmaalka liiska cad ee goobaha la ogol yahay.
Dhibaatada waxaa sabab u ah awoodda lagu dhaafo ilaalinta dayacanka CVE-2010-1622, Lagu go'an yahay Qaab-dhismeedka Gu'ga ee 2010 oo la xidhiidha fulinta hawlwadeenka fasalka loader markii la kala saarayo cabbirrada codsiga.
Hawlgalka ka faa'iidaysiga waxaa lagu dhimay in la diro codsi coo leh halbeegyada "class.module.classLoader.resources.context.parent.pipeline.first."*, habayntooda, marka la isticmaalayo "WebappClassLoaderBase", u horseedda wacitaanka fasalka AccessLogValve.
Fasalka la cayimay wuxuu kuu ogolaanayaa inaad dejiso logger si aad u abuurto faylka jsp ee asalka ah ee deegaanka Apache Tomcat oo ku qor koodka uu qeexay weerarka faylkan. Faylka la sameeyay wuxuu diyaar u yahay codsiyada tooska ah waxaana loo isticmaali karaa sidii qolof shabakadeed. Si aad u weerarto arjiga nugul ee deegaanka Apache Tomcat, waa ku filan inaad soo dirto codsi leh cabbirro gaar ah iyadoo la adeegsanayo utility curl.
Dhibaatada lagu tixgalinayo Spring Core inaan lagu khaldin baylahda cusub ee la aqoonsaday CVE-2022-22963 iyo CVE-2022-22950. Arrinka ugu horreeya wuxuu saameeyaa xirmada Cloud Cloud waxayna sidoo kale ogolaataa fulinta kood fog (ka faa'iidaysiga) in la gaaro. CVE-2022-22963 waxa ay ku go'an tahay Guga Cloud 3.1.7 iyo 3.2.3.
Arrinta labaad CVE-2022-22950 waxay ku jirtaa Muujinta Gu'ga, waxaa loo isticmaali karaa in lagu bilaabo weerarrada DoS, waxaana lagu hagaajiyay Qaab-dhismeedka Gu'ga 5.3.17. Kuwaani asal ahaan waa baylahda kala duwan. Sameeyayaasha Hab-dhismeedka Guga ayaan wali wax hadal ah ka soo saarin baylahda cusub mana ay soo saarin wax hagaajin ah.
Qiyaasta ilaalinta ku meel gaadhka ah, waxaa lagugula talinayaa inaad isticmaasho liis-madow oo cabirrada weydiinta aan ansax ahayn ee summadaada.
Weli ma cadda sida masiibada ay noqon karto ee arrinta la aqoonsaday iyo haddii weerarradu ay noqon doonaan kuwo aad u weyn sida kiiska u nuglaanshaha Log4j 2. Nuglaanta waxaa loo magacaabay Spring4Shell, CVE-2022-22965, iyo cusbooneysiinta Qaabdhismeedka Gu'ga 5.3.18 iyo 5.2.20 waa la sii daayay si wax looga qabto baylahda.
Balastar hadda waa la heli karaa laga bilaabo Maarso 31, 2022 ee noocyadii ugu dambeeyay ee Gu'ga ee 5.3.18 iyo 5.2.20. Waxaan kula talinaynaa dhammaan isticmaalayaasha inay cusboonaysiiyaan. Kuwa aan awoodin inay cusboonaysiiyaan, yaraynta soo socota ayaa suurtogal ah:
Iyada oo ku saleysan boostada Praetorian ee xaqiijinaysa joogitaanka RCE ee Guga Core, habka hadda lagu taliyay waa in la dhejiyo DataBinder iyada oo lagu darayo liis madow oo qaababka goobaha nugul ee looga baahan yahay ka faa'iidaysiga.
Ugu dambeyntii haa waxaad xiisaynaysaa inaad wax badan ka ogaato ku saabsan qoraalka, waad hubin kartaa faahfaahinta Xiriirka soo socda.