zurück zum Artikel

Zwei Schwachstellen bedrohen das Spring Framework. Eine Lücke gilt als kritisch. Updates zum Schließen des Sicherheitslecks stehen bereit.

Angreifer könnten Systeme mit VMware Tanzu Spring Framework attackieren. Abgesicherte Versionen sind erscheinen.

Das quelloffene Framework von VMware Tanzu soll die Entwicklung mit Java vereinfachen. Wer das Framework einsetzt, sollte aus Sicherheitsgründen die abgesicherten Versionen 5.3.23, 5.3.26 oder 6.0.7 installieren.

Jetzt patchen!

Wie aus einer Warnmeldung hervorgeht [1], ist eine Lücke (CVE-2023-20860, CVSS 9.1) als "kritisch" eingestuft. Hier könnten Angreifer mit der Verwendung von einer doppelten Wildcard ("**") als Muster in der Spring-Security-Konfiguration Fehler auslösen und so Sicherheitsmechanismen umgehen. Davon sind den Entwicklern zufolge ausschließlich die Ausgaben 6.0.0 bis einschließlich 6.0.6 und 5.3.0 bis einschließlich 5.3.25 betroffen.

Die zweite Schwachstelle (CVE-2023-20861, CVSS 5.3, "mittel") betrifft die Versionen 6.0.0 bis einschließlich 6.0.6, 5.3.0 bis einschließlich 5.3.25 und 5.2.0.RELEASE bis einschließlich 5.2.22.RELEASE. Auch ältere, nicht mehr im Support befindliche Ausgaben sind davon bedroht. Angreifer könnten mit speziellen Anfragen an der Lücke ansetzen, um DoS-Zustände auszulösen.

(des [2])

URL dieses Artikels:
https://www.heise.de/-7614914

Links in diesem Artikel:
[1] https://spring.io/blog/2023/03/20/spring-framework-6-0-7-and-5-3-26-fix-cve-2023-20860-and-cve-2023-20861
[2] mailto:des@heise.de

Copyright © 2023 Heise Medien