Shortlink zu dieser Seite: https://tra.fo/spring4shell
...
| Betroffenes Produkt | Version | Maßnahme | jadice web toolkit Version | jadice server version | document platform version |
|---|---|---|---|---|---|
| spring-framework |
| Update auf Version 5.3.18 bzw. 5.2.20 | 5.11.3.16 | nach aktuellem Stand behoben mit 5.12.7.1 | - |
Welche Voraussetzungen müssen für die Ausnutzbarkeit der Lücke erfüllt sein?
...
Folgende Bedingungen für eine Ausnutzung von CVE-2022-22965 sind bekannt, die nach aktuellem Kenntnisstand ALLE gleichzeitig gegeben sein müssen:
- JDK 9 oder höher Apache Tomcat als Servlet Container
- Packetiert als WAR (trifft nicht zu)
- spring-webmvc oder spring-webflux als Abhängigkeiten (trifft beim jadice server 5 nicht zu)
- Spring Framework Version 5.3.0 bis 5.3.17 bzw. 5.2.0 bis 5.2.19 und älter sind betroffen
In unseren bisherigen Tests konnten wir die Sicherheitslücke CVE-2022-22965 nicht erfolgreich ausnutzen, das heißt aber nicht, dass nicht doch irgendeine Möglichkeit gefunden werden kann. Um hier sicherzugehen, haben wir gestern daher einen Sicherheitsupdate für den jadice server mit Version 5.12.7.1 veröffentlicht.
...