Aktualisierte Versionen von VMware Tanzu Spring wurden veröffentlicht, um Sicherheitslücken zu schließen, von denen eine als kritisch eingestuft wird und eine weitere als hochriskant. Es wird dringend empfohlen, dass Administratoren diese Updates schnellstmöglich installieren, um die Sicherheit ihrer Systeme zu gewährleisten.
VMware Tanzu ist eine Virtualisierungslösung, die für containerisierte Anwendungen verwendet wird, die das Java Spring Framework nutzen. Damit handelt es sich um Java-Anwendungen, die in der JVM (Java Virtual Machine) ausgeführt werden.
Bekannte VMware Tanzu Spring-Sicherheitslücke
Eine der Sicherheitslücken in VMware Tanzu Spring ähnelt einer bereits früher im März behobenen Lücke mit der Kennung CVE-2023-20860. Diese neue Lücke mit der Bezeichnung CVE-2023-34034 betrifft die Verwendung einer doppelten Wildcard („**“) als Muster in der Spring Security-Konfiguration. Durch diese Konfiguration entstehen abweichende Mustervergleiche zwischen Spring Security und Spring Webflux, was Cyberkriminellen die Möglichkeit bietet, Sicherheitsmechanismen zu umgehen. Diese Sicherheitslücke wird als kritisch eingestuft und hat eine CVSS-Score von 9.1.
Sie wurde in den Versionen 6.1.2, 6.0.5, 5.8.5, 5.7.10 sowie 5.6.12 von Spring Security behoben. Um die Sicherheitslücke zu schließen, ist es erforderlich, die Spring Framework-Versionen 6.0.11, 5.3.29 oder 5.2.25 oder höher zu verwenden, wie in der Sicherheitsmeldung angegeben.
Eine weitere potenziell riskante Sicherheitslücke in Spring Security betrifft falsch konfigurierte Autorisierungsregeln. Wenn die Anwendung „requestMatchers(String)“ und mehrere Servlets verwendet, von denen eines das DispatcherServlet von Spring MVC ist. Zudem muss Spring MVC im Klassenpfad liegen. Diese Schwachstelle wurde als CVE-2023-34035 klassifiziert und besitzt einen CVSS-Score von 7.3. Die Versionen 6.1.2, 6.0.5 und 5.8.5 von Spring Security beheben dieses Problem gemäß der Sicherheitsmeldung.
Um das Risiko von Cyberattacken durch Cyberkriminelle zu minimieren, ist es essentiell, die bereitgestellten Aktualisierungen umgehend herunterzuladen und zu installieren. Die Vernachlässigung dieser Maßnahme könnte zu einer unnötig großen Angriffsfläche führen, die potenziell schwerwiegende Folgen für die Sicherheit des Systems haben kann. Daher sollte dieser Sicherheitshinweis ernst genommen und die Updates schnellstmöglich implementiert werden.