Ende letzter Woche wurde eine Sicherheitslücke (CVE-2022-22965) im Spring-Framework von Vmware bekannt, die schnell den Beinamen „spring4shell“ bekam, obwohl sie mit log4shell von letztem Jahr technisch nichts zu tun hat.
Das CERT Bund stuft die Problematik zwar als nicht so hoch ein wie bei log4shell, dennoch kann unter Umständen remote Code mit den Rechten des Serverdienstes ausgeführt werden. Die derzeit bekannten Exploits benötigen JDK 9 auf Apache Tomcat, aber es ist nicht auszuschließen, dass sich das bald auf andere Plattformen ausweitet. Da wir schon nach dieser Lücke gefragt werden, hier ein paar Infos:
- Fixes für das Spring Framework stehen bereits zur Verfügung.
- Apache hat Updates für Tomcat veröffentlicht, die die Ausnutzung verhindern.
- HCL Domino und die verwandten Produkte sind nicht betroffen. Security-Infos zu allen HCL-Produkten werden im HCL PSIRT-Blog veröffentlicht.
- ELO hat Fixes für die Versionen 12 bis 21 zur Verfügung gestellt. Hier sind die Module ELO INTERFACE FOR MICROSOFT OFFICE ONLINE (ELOimO), REST und SMART INPUT zwar nicht vom aktuellen Exploit betroffen, aber eine Ausnutzung durch ein Derivat ist nicht auszuschließen.
- Unser iServer ist nicht betroffen, da JDK 9 nicht verwendet wird
- Auf Github gibt es bereits eine Liste mit sonstigen (nicht) betroffenen Anwendungen.
Update: HCL-Infos aktualisiert