Tenable नई भेद्यता स्प्रिंग क्लाउड, स्प्रिंग कोर - जिसे स्प्रिंग 4 शेल के रूप में भी जाना जाता है - की व्याख्या करता है - जिसका Log4j या Log4Shell से कोई लेना-देना नहीं है, भले ही नाम इसे सुझाता हो। हालांकि, स्प्रिंग4शेल अब तक पैच नहीं किया गया है, जिससे यह एक शून्य-दिन भेद्यता बन गया है।
सतनाम नारंग, स्टाफ रिसर्च इंजीनियर, टेनेबल, दो भेद्यताओं के बीच के अंतरों पर चर्चा करते हैं जो अभी समाचार बना रहे हैं - स्प्रिंग क्लाउड और स्प्रिंग कोर (उर्फ स्प्रिंग4शेल)। वह स्प्रिंग4शेल के बारे में अक्सर पूछे जाने वाले प्रश्नों के साथ एक ब्लॉग भी प्रदान करता है।
स्प्रिंग4शेल का लॉग4शेल से कोई लेना-देना नहीं है
“29 मार्च को, VMware ने स्प्रिंग क्लाउड फंक्शन (CVE-2022-22963) में भेद्यता के लिए एक सलाह जारी की, जो कार्यों पर व्यावसायिक तर्क को लागू करने के लिए एक रूपरेखा है। भेद्यता की वर्तमान में CVSSv3 रेटिंग 5.4 है। हालाँकि, भेद्यता को एक दूरस्थ कोड निष्पादन दोष माना जाता है जिसका उपयोग एक अप्रमाणित हमलावर द्वारा किया जा सकता है, CVSSv3 मूल्यांकन इस दोष के सही प्रभाव को प्रतिबिंबित नहीं करता है।
दोनों कमजोरियां महत्वपूर्ण हैं
CVE-2022-22963 को स्प्रिंग कोर में एक अलग कथित रिमोट कोड निष्पादन भेद्यता से जोड़ने वाली रिपोर्टें आई हैं, जिसे स्प्रिंग4शेल या स्प्रिंगशेल करार दिया गया है। भ्रम को बढ़ाते हुए, स्प्रिंग4शेल को सीवीई नहीं सौंपा गया है। हालांकि दोनों भेद्यताएं महत्वपूर्ण दूरस्थ कोड निष्पादन भेद्यताएं हैं, वे अलग-अलग अनुप्रयोगों को प्रभावित करने वाली दो अलग-अलग भेद्यताएं हैं:
CVE-2022-22963 स्प्रिंग क्लाउड फंक्शन में मौजूद है, एक सर्वर रहित ढांचा जो स्प्रिंग क्लाउड का हिस्सा है जबकि
स्प्रिंग4शेल को स्प्रिंग फ्रेमवर्क में शामिल किया गया है, जो जावा-आधारित उद्यम अनुप्रयोगों के लिए एक प्रोग्रामिंग और कॉन्फ़िगरेशन मॉडल है।
स्प्रिंग4शेल लॉग4शेल जितना सामान्य नहीं है
नामकरण परिपाटी के बावजूद जो Log4Shell के समान है, स्प्रिंग4शेल असंबंधित है और Log4Shell जितना बड़ा नहीं लगता है। स्प्रिंग4शेल की कुछ गैर-मानक कॉन्फ़िगरेशन आवश्यकताएं हैं, हालांकि यह स्पष्ट नहीं है कि कौन से एप्लिकेशन उन्हें लागू करते हैं। Log4Shell की तरह ही, हमें Spring4Shell के पूर्ण दायरे और प्रभाव को जानने में कुछ समय लगेगा, लेकिन हम कह सकते हैं कि यह Log4Shell जितना महत्वपूर्ण नहीं होगा।
CVE-2022-22963 के लिए पैच मौजूद हैं और स्प्रिंग क्लाउड फ़ंक्शन के विशिष्ट संस्करणों के लिए उपलब्ध हैं। इस लेखन के अनुसार, स्प्रिंग4शेल के लिए कोई पैच नहीं है, जिससे यह शून्य-दिन हो जाता है। हम जल्द ही और विवरण सामने आने की उम्मीद करते हैं।"
Tenable.com पर अधिक
टेनेबल के बारे में टेनेबल साइबर एक्सपोजर कंपनी है। दुनिया भर में 24.000 से अधिक कंपनियां साइबर जोखिम को समझने और कम करने में सक्षम हैं। Nessus के आविष्कारकों ने Tenable.io में अपनी भेद्यता विशेषज्ञता को संयोजित किया है, जो उद्योग का पहला प्लेटफ़ॉर्म प्रदान करता है जो किसी भी कंप्यूटिंग प्लेटफ़ॉर्म पर किसी भी संपत्ति को रीयल-टाइम दृश्यता प्रदान करता है और सुरक्षित करता है। टेनेबल के ग्राहक आधार में फॉर्च्यून 53 का 500 प्रतिशत, ग्लोबल 29 का 2000 प्रतिशत और बड़ी सरकारी एजेंसियां शामिल हैं।