Tenable пояснює нові вразливості Spring Cloud, Spring Core, також відомі як Spring4Shell, які не мають нічого спільного з Log4j або Log4Shell, навіть якщо це випливає з назви. Однак Spring4Shell наразі залишається невиправленим, що робить його вразливістю нульового дня.
Сатнам Наранг, штатний інженер-дослідник Tenable, обговорює відмінності між двома вразливими місцями, які зараз стають новинами, — Spring Cloud і Spring Core (така ж Spring4Shell). Він також надає блог із поширеними запитаннями про Spring4Shell.
Spring4Shell не має нічого спільного з Log4Shell
«29 березня VMware випустила пораду щодо вразливості у Spring Cloud Function (CVE-2022-22963), структурі для реалізації бізнес-логіки над функціями. Зараз уразливість має рейтинг CVSSv3 5.4. Однак, оскільки вразливість вважається недоліком віддаленого виконання коду, яким може скористатися неавтентифікований зловмисник, оцінка CVSSv3, здається, не відображає справжній вплив цього недоліку.
Обидві вразливості є критичними
Були повідомлення про зв’язок CVE-2022-22963 з окремою передбачуваною вразливістю віддаленого виконання коду в Spring Core, що отримала назву Spring4Shell або SpringShell. Spring4Shell не було призначено CVE, що додає плутанини. Хоча обидві уразливості є критичними уразливостями віддаленого виконання коду, це дві різні уразливості, які впливають на різні програми:
CVE-2022-22963 існує у Spring Cloud Function, безсерверній структурі, яка є частиною Spring Cloud, а
Spring4Shell включено до Spring Framework, моделі програмування та конфігурації для корпоративних програм на основі Java.
Spring4Shell не є таким поширеним, як Log4Shell
Незважаючи на угоду про найменування, яка нагадує Log4Shell, Spring4Shell не пов’язаний і не виглядає таким великим, як Log4Shell. Spring4Shell має деякі нестандартні вимоги до конфігурації, хоча незрозуміло, які програми їх реалізують. Так само, як і Log4Shell, потрібен деякий час, перш ніж ми дізнаємося про повний масштаб і вплив Spring4Shell, але ми можемо сказати, що він не буде таким значним, як Log4Shell.
Виправлення існують для CVE-2022-22963 і доступні для певних версій Spring Cloud Function. На момент написання цієї статті немає патча для Spring4Shell, що робить його нульовим днем. Ми очікуємо, що найближчим часом з’явиться більше деталей».
Більше на Tenable.com
Про Tenable Tenable є компанією Cyber Exposure. Понад 24.000 53 компаній у всьому світі довіряють Tenable розуміти та зменшувати кіберризики. Винахідники Nessus об’єднали свої знання з уразливостей у Tenable.io, створивши першу в галузі платформу, яка забезпечує видимість у реальному часі та захищає будь-які активи на будь-якій обчислювальній платформі. Клієнтська база Tenable включає 500 відсотки Fortune 29, 2000 відсотків Global XNUMX і великі державні установи.