Zwei Sicherheitslücken gefährden das Spring Framework. Eine der beiden Lücken wird als kritisch eingestuft. Updates zum Schließen der Schwachstellen stehen zum Download zur Verfügung.
Cyberkriminelle können Systeme, welche VMware Tanzu Spring Framework nutzen, angreifen. Updates in Form von abgesicherten Versionen wurden bereits veröffentlicht.
Die Entwicklung mit Java soll durch das quelloffene Framework von VMware Tanzu vereinfacht werden. Wer das Framework nutzen möchte, sollte aus Sicherheitsgründen die aktuellen, bereits abgesicherten, Versionen 5.3.23, 5.3.26 oder 6.0.7 installieren.
Jetzt Updates installieren
In einer kürzlich veröffentlichten Warnmeldung wurde mitgeteilt, dass eine der beiden Sicherheitslücken als kritisch bewertet wurde. Die Schwachstelle ist unter der Bezeichnung CVE-2023-20860 bekannt und wurde mit einem CVSS-Score von 9.1 bewertet. Durch die Schwachstelle können Cyberkriminelle mit Hilfe einer doppelten Wildcard (“**“) als Muster in der Spring-Security-Konfiguration Fehler provozieren und dadurch Sicherheitsmechanismen umgehen. Nach Angaben der Entwickler sind davon ausschließlich die Versionen 6.0.0 bis einschließlich 6.0.6 sowie 5.3.0 bis einschließlich 5.3.25 betroffen.
Die zweite Sicherheitslücke mit der Bezeichnung CVE-2023-20861 und einem CVSS-Score von 5.3 betrifft laut Meldungen die Versionen 6.0.0 bis einschließlich 6.0.6 sowie 5.3.0 bis einschließlich 5.3.25. Des Weiteren sind die Ausgaben 5.2.0.RELEASE bis einschließlich 5.2.22.RELEASE. Auch Versionen, die bereits veraltet sind und nicht mehr durch den Kundensupport betreut werden, sind von den Schwachstellen bedroht. Cyberkriminelle könnten die Sicherheitslücken ausnutzen, um dadurch DoS-Zustände auszulösen.