VMware публикува актуализации за сигурност за
критичната уязвимост при отдалечено изпълнение на код, известна като
Spring4Shell, която засяга няколко от неговите продукти в облак и виртуализация.
Списък на продуктите на VMware, засегнати от
Spring4Shell, е наличен в справка от компанията. Когато корекцията не е
налична, VMware публикува
заобиколно решение като временно решение.
По
това време е изключително важно да следвате съветите, предоставени в бюлетина
за сигурност, тъй като Spring4Shell е активно използвана уязвимост.
Spring4Shell, официално проследяван като
CVE-2022-22965, е уязвимост при отдалечено изпълнение на код в рамката на
Spring Core Java, която може да се използва без удостоверяване, с оценка на
сериозност 9,8 от 10.
Това означава, че всеки злонамерен участник с достъп
до уязвими приложения може да изпълнява произволни команди и да поеме пълен
контрол над целевата система.
Поради широкото внедряване на Spring Framework за
разработка на приложения Java, анализаторите по сигурността се страхуват от
широкомащабни атаки, които се възползват от уязвимостта на Spring4Shell.
За да влоши нещата, работещ експлойт за
доказателство на концепцията (PoC) беше изтекъл в GitHub дори преди да е
налична актуализация на защитата, повишавайки шансовете за злонамерена атаки.
Въздействие
и саниране
Критичният недостатък засяга Spring MVC и Spring
WebFlux приложения, работещи на JDK 9+. Експлойтът изисква приложението да
работи на Tomcat като WAR внедряване, въпреки че точните ограничения все още се
разследват.
Фиксираните
версии на приложенията са:
Spring Framework 5.3.18 и Spring Framework 5.2.20
Spring Boot 2.5.12
Spring Boot 2.6.6 (скоро ще бъде пуснат)
VMWare прегледа своето продуктово портфолио и докато
разследването все още продължава, продуктите по-долу вече са определени като
засегнати:
- VMware
Tanzu Application Service for VMs – versions 2.10 to 2.13
- VMware
Tanzu Operations Manager – versions 2.8 to 2.9
- VMware
Tanzu Kubernetes Grid Integrated Edition (TKGI) – versions 1.11 to 1.13
Продавачът вече е предоставил актуализации на
сигурността за първите два продукта, обхващащи множество клонове на версии с
точкови издания, но постоянната корекция за VMware Tanzu Kubernetes Grid
Integrated Edition все още е в процес на работа.
За тези внедрявания VMWare публикува инструкции за
заобикаляне, предназначени да помогнат на администраторите временно да защитят
своите системи, докато пачовете не бъдат пуснати.
Едно нещо, което трябва да се отбележи, е, че VMWare
установи, че експлоатацията на Spring4Shell е сложна в TKGI, така че съветите
за смекчаване и предстоящата актуализация на сигурността са предоставени за
максимално доверие на клиентите и за избягване на фалшиви положителни
резултати.
За повече информация: https://www.bleepingcomputer.com/news/security/vmware-patches-spring4shell-rce-flaw-in-multiple-products/