Tenable, adından da anlaşılacağı gibi Log4j veya Log4Shell ile hiçbir ilgisi olmayan Spring Cloud, Spring Core (Spring4Shell olarak da bilinir) adlı yeni güvenlik açıklarını açıklıyor. Bununla birlikte, Spring4Shell şu an itibariyle yamalanmamış durumda ve bu da onu sıfır gün güvenlik açığı haline getiriyor.
Tenable Personel Araştırma Mühendisi Satnam Narang, şu anda gündemde olan iki güvenlik açığı arasındaki farkları tartışıyor - Spring Cloud ve Spring Core (diğer adıyla Spring4Shell). Ayrıca Spring4Shell hakkında SSS içeren bir blog da sağlar.
Spring4Shell'in Log4Shell ile ilgisi yoktur
“29 Mart'ta VMware, işlevler üzerinden iş mantığını uygulamaya yönelik bir çerçeve olan Spring Cloud Function'taki (CVE-2022-22963) bir güvenlik açığı için bir danışma belgesi yayınladı. Güvenlik açığının şu anda CVSSv3 derecesi 5.4'tür. Bununla birlikte, güvenlik açığı, kimliği doğrulanmamış bir saldırgan tarafından yararlanılabilecek bir uzaktan kod yürütme hatası olarak kabul edildiğinden, CVSSv3 değerlendirmesi bu kusurun gerçek etkisini yansıtmıyor gibi görünmektedir.
Her iki güvenlik açığı da kritik
CVE-2022-22963'ü Spring Core'da Spring4Shell veya SpringShell olarak adlandırılan ayrı bir sözde uzaktan kod yürütme güvenlik açığına bağlayan raporlar var. Spring4Shell'e bir CVE atanmamış, bu da kafa karışıklığını artırıyor. Her iki güvenlik açığı da kritik uzaktan kod yürütme güvenlik açıkları olsa da, farklı uygulamaları etkileyen iki farklı güvenlik açığıdır:
CVE-2022-22963, Spring Cloud'un bir parçası olan sunucusuz bir çerçeve olan Spring Cloud Function'ta mevcuttur.
Spring4Shell, Java tabanlı kurumsal uygulamalar için bir programlama ve yapılandırma modeli olan Spring Framework'e dahildir.
Spring4Shell, Log4Shell kadar yaygın bir şey değil
Log4Shell'e benzeyen adlandırma kuralına rağmen, Spring4Shell ilgisizdir ve Log4Shell kadar büyük görünmemektedir. Spring4Shell'in bazı standart dışı yapılandırma gereksinimleri vardır, ancak bunları hangi uygulamaların uyguladığı net değildir. Tıpkı Log4Shell gibi, Spring4Shell'in tam kapsamını ve etkisini öğrenmemiz biraz zaman alacak ancak Log4Shell kadar önemli olmayacağını söyleyebiliriz.
Yamalar CVE-2022-22963 için mevcuttur ve Spring Cloud Function'ın belirli sürümleri için mevcuttur. Bu yazı itibariyle, Spring4Shell için bir yama yok, bu da onu sıfır gün yapıyor. Kısa süre içinde daha fazla detayın ortaya çıkmasını bekliyoruz.”
Daha fazlası Tenable.com'da
Kiralanabilir Hakkında Tenable bir Cyber Exposure şirketidir. Dünya çapında 24.000'den fazla şirket, siber riski anlamak ve azaltmak için Tenable'a güveniyor. Nessus mucitleri, güvenlik açığı uzmanlıklarını Tenable.io'da birleştirerek, endüstrinin herhangi bir bilgi işlem platformundaki herhangi bir varlığın gerçek zamanlı görünürlüğünü sağlayan ve güvenliğini sağlayan ilk platformunu sağladı. Tenable'ın müşteri tabanı, Fortune 53'ün yüzde 500'ünü, Global 29'in yüzde 2000'unu ve büyük devlet kurumlarını içerir.