Information zu Java/Spring Exploit (04.04.2022)

04.04.2022

Mit/ab der KMS-WEB Version 4.00B24 werden potentiell angreifbare Bibliotheken des Spring Frameworks komplett aus der KMS-WEB Auslieferung entfernt. Die KMS-WEB Version 4.0B24 steht ab sofort im Kundenbereich zur Verfügung.

Hintergrund: KMS 4.0 ist von der Spring-Sicherheitslücke nicht betroffen, da die Spring-Bibliotheken von der KMS 4.0 WEB-Anwendung nicht verwendet/benötigt werden. Bei einem zukünftigen Sicherheits-Scan könnten diese Dateien jedoch beanstandet werden. Deshalb wurden diese Dateien vorsorglich aus der Auslieferung komplett entfernt.

Bei der Lücke handelt es sich um eine Zero-Day-Sicherheitslücke namens Spring4Shell und eine Denial-of-Service-Schwachstelle (DoS) unter CVE-2022-22950 in Spring Framework, sowie eine Schwachstelle in den Spring Cloud Functions mit der CVE-Nummer CVE-2022-22963.