Spring é uma estrutura de desenvolvimento de aplicativos e contêiner de controle reverso para aplicativos Java – os principais recursos da plataforma podem ser usados por qualquer aplicativo Java, mas também existem extensões para o desenvolvimento de aplicativos da Web na plataforma Java EE (Enterprise Edition). Infelizmente, uma séria falha de segurança foi encontrada na plataforma, permitindo que qualquer código malicioso seja executado remotamente.
Spring4Shell – Uma vulnerabilidade séria foi descoberta no Java Spring Framework.
A VMWare (responsável pelo framework Spring) deveria ter sido informada sobre o caso na noite de terça-feira, mas o processo de correção e identificação oficial da vulnerabilidade com o número CVE nunca foi concluído – então podemos dizer que estamos lidando aqui com o -chamado vulnerabilidade de 0 dia (o trabalhador foi nomeado Spring4Shell). O assunto é tão sério que a estrutura é usada em muitas plataformas de software empresarial baseadas em Java.
A vulnerabilidade foi divulgada publicamente depois que uma exploração de prova de conceito (PoC) foi publicada por um pesquisador de segurança chinês. No entanto, o caso era tão misterioso que ele excluiu sua conta do Twitter imediatamente após a descoberta da vulnerabilidade.
Will Dormann, pesquisador de segurança do CERT/CC, logo confirmou que o código de exploração preparado realmente funcionava. No entanto, existem discrepâncias nas condições para infectar uma máquina.
Spring.io corrige vulnerabilidade Spring4Shell
A VMWare confirmou recentemente oficialmente a presença de uma vulnerabilidade na plataforma (todos os detalhes podem ser encontrados aqui). Sabe-se que estamos falando da plataforma Java Development Kit (JDK) versão 9 e mais recente e dos requisitos específicos para a aplicação finalizada (pelo menos em teoria, pois pode haver outras formas de utilização que ainda não foram divulgadas) .
A vulnerabilidade recebeu o número CVE-2022-22965 como uma vulnerabilidade crítica. Ao mesmo tempo, os desenvolvedores lançaram novas versões do Sprimg Framework 5.3.18/5.2.20 e Spring Boot 2.5.12/2.6.6, que devem corrigir a vulnerabilidade.
Fonte: Serviço de Segurança, Securak, Vesna.
Deixe um comentário