Versionen im Vergleich

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

Shortlink zu dieser Seite: https://tra.fo/spring4shell

...

Betroffenes ProduktVersionMaßnahmejadice web toolkit Versionjadice server versiondocument platform version
spring-framework
  • 5.3.0 - 5.3.17
  • 5.2.0 - 5.2.19
  • Ältere, nicht mehr supportete Versionen ebenfalls betroffen
Update auf Version 5.3.18 bzw. 5.2.205.11.3.16nach aktuellem Stand behoben mit 5.12.7.1-


Welche Voraussetzungen müssen für die Ausnutzbarkeit der Lücke erfüllt sein?

...

  • JDK 9 oder höher
  • Apache Tomcat als Servlet Container (trifft beim jadice server 5 nicht zu)
  • Packetiert als WAR (trifft nicht zu)
  • spring-webmvc oder spring-webflux als Abhängigkeiten (trifft beim jadice server 5 nicht zu)
  • Spring Framework Version 5.3.0 bis 5.3.17 bzw. 5.2.0 bis 5.2.19 und älter sind betroffen

...

Cloud-Variante: Erste Images sind hier bereits neu erstellt worden. Updates hierzu in Kürze am Montag (0104.04.2022 - 09:29).

neverpile fusion

Neverpile fusion enthält Rest-Controller, die die vulnerable Funktionalität von Spring benutzen. Da fusion JDK >=11 voraussetzt, ist davon auszugehen, dass Installationen von der Lücke betroffen sind. Allerdings dürfte in den allermeisten Fällen fusion so konfiguriert sein, dass für den Zugriff auf die betroffenen Endpoints generell eine Authentisierung erforderlich ist, sodass eine Ausnutzbarkeit nur durch bereits erfolgreich authentisierte Benutzer gegeben ist.

...