Tenable explique les nouvelles vulnérabilités Spring Cloud, Spring Core - également connues sous le nom de Spring4Shell - qui n'ont rien à voir avec Log4j ou Log4Shell, même si le nom l'indique. Cependant, Spring4Shell n'a pas encore été corrigé, ce qui en fait une vulnérabilité zero-day.
Satnam Narang, ingénieur de recherche chez Tenable, discute des différences entre deux vulnérabilités qui font l'actualité en ce moment - Spring Cloud et Spring Core (alias Spring4Shell). Il fournit également un blog avec une FAQ sur Spring4Shell.
Spring4Shell n'a rien à voir avec Log4Shell
« Le 29 mars, VMware a publié un avis pour une vulnérabilité dans Spring Cloud Function (CVE-2022-22963), un cadre pour la mise en œuvre de la logique métier sur les fonctions. La vulnérabilité a actuellement une cote CVSSv3 de 5.4. Cependant, étant donné que la vulnérabilité est considérée comme une faille d'exécution de code à distance pouvant être exploitée par un attaquant non authentifié, l'évaluation CVSSv3 ne semble pas refléter le véritable impact de cette faille.
Les deux vulnérabilités sont critiques
Des rapports ont établi un lien entre CVE-2022-22963 et une prétendue vulnérabilité d'exécution de code à distance distincte dans Spring Core, appelée Spring4Shell ou SpringShell. Spring4Shell n'a pas reçu de CVE, ce qui ajoute à la confusion. Bien que les deux vulnérabilités soient des vulnérabilités critiques d'exécution de code à distance, il s'agit de deux vulnérabilités différentes affectant différentes applications :
CVE-2022-22963 existe dans Spring Cloud Function, un framework sans serveur qui fait partie de Spring Cloud tandis que
Spring4Shell est inclus dans Spring Framework, un modèle de programmation et de configuration pour les applications d'entreprise basées sur Java.
Spring4Shell rien d'aussi commun que Log4Shell
Malgré la convention de dénomination qui ressemble à Log4Shell, Spring4Shell n'a aucun rapport et ne semble pas être aussi gros que Log4Shell. Spring4Shell a des exigences de configuration non standard, bien qu'il ne soit pas clair quelles applications les implémentent. Tout comme Log4Shell, il faudra un certain temps avant que nous connaissions toute la portée et l'impact de Spring4Shell, mais nous pouvons dire que ce ne sera pas aussi important que Log4Shell.
Des correctifs existent pour CVE-2022-22963 et sont disponibles pour des versions spécifiques de Spring Cloud Function. Au moment d'écrire ces lignes, il n'y a pas de correctif pour Spring4Shell, ce qui en fait un jour zéro. Nous nous attendons à ce que plus de détails soient révélés sous peu.
Plus sur Tenable.com
À propos de Tenable Tenable est une entreprise de cyber-exposition. Plus de 24.000 53 entreprises dans le monde font confiance à Tenable pour comprendre et réduire les cyber-risques. Les inventeurs de Nessus ont combiné leur expertise en matière de vulnérabilité dans Tenable.io, offrant la première plate-forme du secteur qui offre une visibilité en temps réel et sécurise n'importe quel actif sur n'importe quelle plate-forme informatique. La clientèle de Tenable comprend 500 % du Fortune 29, 2000 % du Global XNUMX et de grandes agences gouvernementales.