स्प्रिंग फ्रेमवर्क और स्प्रिंग बूट में शून्य-दिन की भेद्यता को ठीक करता है


स्प्रिंग डेवलपमेंट टीम ने आज नए रिपोर्ट किए गए स्प्रिंगशेल, जिसे स्प्रिंग4शेल भी कहा जाता है, भेद्यता को स्वीकार किया, लोकप्रिय जावा फ्रेमवर्क में समस्या के मूल कारण को ठीक करने के लिए स्प्रिंग फ्रेमवर्क और स्प्रिंग बूट के नए संस्करण जारी किए।

भेद्यता – जारी सामान्य भेद्यता और एक्सपोजर (सीवीई) पहचानकर्ता सीवीई -2022-22965 – स्प्रिंग एमवीसी का उपयोग करने वाले अनुप्रयोगों को प्रभावित करता है, वेब अनुप्रयोगों के लिए मॉडल-व्यू-कंट्रोलर आर्किटेक्चर को लागू करने वाला ढांचा, और स्प्रिंग वेबफ्लक्स, यदि वे संस्करण 9.0 पर चलते हैं। या जावा डेवलपमेंट किट के उच्चतर, स्प्रिंग डेवलपर्स द्वारा जारी एक एडवाइजरी के अनुसार।

हालाँकि, इस मुद्दे के लिए वर्तमान शोषण कुछ हद तक सीमित है, क्योंकि इसके लिए आवश्यक है कि एप्लिकेशन को एक विशिष्ट प्रकार की फ़ाइल के रूप में तैनात किया जाए – एक वेब आर्काइव (WAR) फ़ाइल – Apache Tomcat पर, स्प्रिंग बूट की मानक परिनियोजन विधि के बजाय जावा आर्काइव (JAR) प्रारूप में निष्पादन योग्य।

हालांकि, जैसा कि अधिक सुरक्षा शोधकर्ता कोड की जांच करते हैं और अतिरिक्त रास्तों की खोज करते हैं जिसके माध्यम से भेद्यता का फायदा उठाया जा सकता है, जो बदल सकता है, स्प्रिंग कमिटर रॉसन स्टोयनचेव ने सलाह में चेतावनी दी।/p>

“भेद्यता की प्रकृति अधिक सामान्य है, और इसका फायदा उठाने के अन्य तरीके भी हो सकते हैं,” उन्होंने कहा।

स्प्रिंग ऐप्स को पैच करने का समय
सुरक्षा विशेषज्ञों का कहना है कि कंपनियों को अपने सभी स्प्रिंग फ्रेमवर्क- और स्प्रिंग बूट-आधारित अनुप्रयोगों को पैच करने को प्राथमिकता देनी चाहिए, भले ही वे विशिष्ट, ज्ञात-कमजोर कॉन्फ़िगरेशन नहीं चलाते हों। विकास दल अक्सर अपने पूर्ण सॉफ़्टवेयर बिल-ऑफ-मैटेरियल्स (SBOM) को नहीं जानते हैं, जो उन्हें संभावित रूप से कमजोर कॉन्फ़िगरेशन से अनजान छोड़ सकता है।

इसके अलावा, इस प्रकार की कमजोरियाँ “समय के साथ उत्परिवर्तित होती हैं क्योंकि शोधकर्ता शोषण के अन्य तरीकों की तलाश करते हैं,” सॉफ्टवेयर प्रबंधन और सुरक्षा फर्म सोनाटाइप के क्षेत्र सीटीओ इल्का टुरुनेन कहते हैं।

“इस तरह की स्थिति में बहुत विशिष्ट क्या है – लॉग 4j पर तीन महीने पीछे देखो – इस मुद्दे पर एक टन ध्यान दिया जा रहा है, दोनों अच्छे और बुरे, शोधकर्ता शोषक वर्गों के बारे में सोच रहे हैं, ” वे कहते हैं। “हालांकि, यह तेजी से विकसित होता है। Log4j में हमने पाया कि चार अन्य सीवीई मूल मुद्दे से संबंधित हैं, और हम उम्मीद करते हैं कि यहां ऐसा होगा।”

स्प्रिंग डेवलपर्स को पहली बार मंगलवार, 29 मार्च को भेद्यता के बारे में पता चला, लेकिन विकास टीम द्वारा पैच और प्रकटीकरण समाप्त करने से पहले लीक हुए मुद्दों का विवरण, स्प्रिंग के स्टॉयनचेव स्प्रिंग एडवाइजरी में कहा गया है.

“बुधवार को हमने जांच, विश्लेषण, एक फिक्स की पहचान, परीक्षण के माध्यम से काम किया, जबकि गुरुवार को आपातकालीन रिलीज का लक्ष्य रखा,” उन्होंने कहा। “इस बीच, बुधवार को भी, विवरण पूरी तरह से ऑनलाइन लीक हो गए थे, यही वजह है कि हम रिलीज और सीवीई रिपोर्ट से पहले यह अपडेट प्रदान कर रहे हैं।”

यह पता लगाना कि क्या कंपनी के स्प्रिंग-आधारित एप्लिकेशन असुरक्षित हैं, ज्यादातर कंपनियों के लिए मुश्किल होगा, क्योंकि यह “एक विशेष रूप से मुश्किल भेद्यता है”, क्लाउड साइबर सिक्योरिटी फर्म एक्स्ट्राहॉप के वरिष्ठ प्रमुख डेटा वैज्ञानिक एडवर्ड वू ने डार्क को भेजे गए एक बयान में कहा। अध्ययन।

“अधिकांश टीमों के पास अपने वातावरण में सैकड़ों विक्रेता-प्रदत्त सॉफ़्टवेयर हैं जो स्प्रिंग कोर चला सकते हैं या नहीं भी हो सकते हैं,” वे कहते हैं। “उनके पास अक्सर स्रोत कोड तक पहुंच नहीं होती है और यह निर्धारित करने के लिए संघर्ष करेंगे कि क्या वे असुरक्षित हैं। संगठनों के लिए यह महत्वपूर्ण होगा कि वे अपने पर्यावरण को क्वेरी करने में सक्षम हों, लेकिन सत्य के एकल स्रोत के रूप में अपने नेटवर्क के भीतर गतिविधि को भी ट्रैक करें। “

अगला नहीं Log4j
कुल मिलाकर, हालांकि, स्प्रिंग में भेद्यता Log4j में महत्वपूर्ण भेद्यता के लिए Log4Shell शोषण से कम हो जाती है, भले ही कुछ कंपनियों ने दो मुद्दों को समान स्तर पर रखा हो, एप्लिकेशन सुरक्षा प्रदाता Invicti के प्रतिष्ठित वास्तुकार डैन मर्फी ने एक बयान में कहा .

स्प्रिंग4शेल, जैसा कि कुछ कंपनियों ने भेद्यता का नाम दिया है, एक कॉन्फ़िगरेशन पर निर्भर करता है जो आधुनिक स्प्रिंग अनुप्रयोगों के लिए डिफ़ॉल्ट नहीं है, उन्होंने कहा। यदि कोई कंपनी अपने स्प्रिंग बूट ऐप्स को स्टैंडअलोन एप्लिकेशन के रूप में चलाती है, तो वे संभवतः असुरक्षित नहीं हैं।

“जबकि स्प्रिंग4शेल भेद्यता गंभीर है और पूरी तरह से पैचिंग की आवश्यकता है, हमारे प्रारंभिक निष्कर्ष बताते हैं कि यह अगली लॉग4शेल घटना नहीं होगी,” मर्फी ने कहा। “उस ने कहा, संगठनों को अभी भी मानक सर्वोत्तम प्रथाओं का पालन करना चाहिए और पैच करने की योजना बनाना चाहिए। अंतर्निहित मुद्दा अभी भी मौजूद है और संभावित रूप से अभी तक अनदेखे तरीकों से शोषण किया जा सकता है।”

बुधवार को, कई सुरक्षा शोधकर्ताओं ने नए कारनामे को दूसरी भेद्यता के आसपास प्रसारित जानकारी के साथ भ्रमित किया था जिसका खुलासा पहले दिन किया गया था। भेद्यता, सीवीई-2022-22963, स्प्रिंग क्लाउड फंक्शन लाइब्रेरी को प्रभावित करता है, लेकिन गलत गंभीरता को भी सौंपा गया था। स्प्रिंग डेवलपमेंट टीम ने 31 मार्च को उस भेद्यता की गंभीरता को “क्रिटिकल” में अपग्रेड किया।


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here