Die Sicherheitslücke CVE-2016-1000027 wird von Dependency-Checks bei allen neueren Versionen des jadice web toolkit gefundengemeldet.
Herkunft
Die CVE Schwachstelle kommt durch Spring Core in die jadice Produkte. Die CVE wurde schon vor über 2 Jahren gemeldet, wird aber wohl erst seit 11/2022 von einigen Dependency Checkern (SonarQube, ...) als Critical gemeldet.
Bewertung
False positive |
Das grundsätzliche Problem ist, dass die Serialisierung des Java JDK unsicher ist. Spring Framework (Spring Core) bietet in Version 5.x den Spring HTTP Invoker an (welcher jedoch deprecated ist) an, der die diese unsichere Java De-Serialisierung verwendet. Diese Klasse wird von jadice nicht verwendet, daher ist die CVE nicht zutreffend.Ein Fix wird von worurch jadice nicht von der Schwachstelle betroffen ist.
Eine Korrektur der Lücke wird von Pivotal/Spring nicht angeboten, da sie diese in der 5er Versionslinie keine Funktionalität entfernen können, ohne bestehende Anwendungen damit zu beeinträchtigen. Gleichzeitig sind die Spring-Entwickler nicht gewolltgewillt, ein als Deprecated markiertes Feature, welches per Opt-In aktiviert werden muss noch zu fixen. Die offizielle Empfehlung seitens Spring Pivotal lautet daher das Upgrade auf Spring Framework 6 / Spring Boot 3 vorzunehmen, da dort die betroffene Klasse entfernt wurde. Diese Migration ist jedoch äußerst aufwendig und daher keine kurzfristige Lösung.
...