Vulnérabilités dans l’outil de développement Java: Spring

Origine: bjCSIRT

Numéro: 2022/ALERTE/018

Date de l’alerte: 01/04/2022

APERÇU :

Deux vulnérabilités libellées CVE-2022-22963 et CVE-2022-2265 ont été découvertes dans l’outil Java « Spring ». L’impact de la CVE-2022-22965 est si sévère qu’elle porte le nom de « Spring4Shell ».  L’exploitation de ces vulnérabilités permettraient à un attaquant d’exécuter du code arbitraire (CVE-2022-22963) et de l’exécution de code arbitraire à distance dans le cas de Spring4Shell.

DESCRIPTION :

Spring est un outil open source de développement d’applications Java utilisé par des millions de développeurs pour créer un des programmes performants et facilement testables. L’une de ses bibliothèques : « Spring Cloud » permet aux développeurs d’écrire des fonctions indépendantes du cloud à l’aide des fonctionnalités Spring. La bibliothèque « Spring Core » est également très populaire pour la création d’applications Web Java modernes.

  • CVE-2022-22963 : affecte uniquement la bibliothèque Spring Cloud et permettrait à un attaquant d’exécuter du code arbitraire vers le langage d’expression Spring « SpEL »  via une en-tête HTTP nommée spring.cloud.function.routing-expression , un paramètre non validé par la fonction Cloud. Étant donné que Spring Cloud peut être utilisé dans des fonctions cloud sans serveur comme AWS lambda ou Google Cloud Functions, ces fonctions peuvent également être affectées.
  • CVE-2022-22965 (Spring4Shell) : est lié à une faille de type exécution de code malveillant à distance (RCE) Spring. Cette vulnérabilité s’appuie sur la pile « Handling Form Submission » de l’outil. Il s’agit d’une méthode dans l’interface de programmation de modèle d’objet standard HTML DOM utilisée pour envoyer des données de formulaire à un serveur web.

IMPACT :

  •  Exécution de code arbitraire dans le système
  • Exécution de code arbitraire à distance
  • Divulgation d’information
  • Déni de service
  • Ransomware

SYSTEMES AFFECTÉS :

  • Spring Cloud : les versions inférieures ou égales à
    •  3.1.6 (pour 3.1.x)
    • 3.2.2 (pour 3.2.x)
  • Spring Core :  La version 5.3.17 et celles ultérieures ;

MESURES À PRENDRE :

  • Spring Cloud

Il est fortement recommandé aux utilisateurs d’effectuer les mises à jour vers les versions de sécurité (3.1.7+ ou 3.2.3+ pour la bibliothèque Spring Cloud).

  • Spring Framework 

Si vous pouvez effectuer une mise à niveau vers Spring Framework 5.3.18 et 5.2.20, aucune solution de contournement n’est nécessaire. Pour les anciennes versions de Spring Framework non prises en charge, la mise à niveau vers Apache Tomcat 10.0.20, 9.0.62 ou 8.5.78 offre une protection adéquate. Cependant, cela doit être considéré comme une solution tactique, et l’objectif principal doit être de mettre à niveau vers une version Spring Framework actuellement prise en charge dès que possible.

REFERENCES :

Partagez sur vos réseaux.