Das Problem betrifft das Spring Framework<\/a>, eines der drei beliebtesten Frameworks<\/a> f\u00fcr die Entwicklung von Java-Anwendungen. Die Empfehlung f\u00fcr Benutzerorganisationen lautet, auf neuere Versionen zu aktualisieren und dabei die offiziellen Richtlinien des Spring-Projekts zu befolgen. Laut SecurityScorecard<\/a> wurde die Schwachstelle mit CVE-2022-22965 bezeichnet und im CVSS<\/a>-Ranking mit 9,8 bewertet. Diese Bewertung hat mit der oftmals leichten Realisierung der Attacken zu tun.<\/p>\n\n\n\n Bereits im Jahr 2010 wurde eine RCE-Schwachstelle in Spring Framework v2.5 entdeckt. Die neue RCE-Schwachstelle ist mit der alten verwandt, betrifft aber nur die Java-Versionen 9 und h\u00f6her (JDK9+) und kann nur mit Endger\u00e4ten verwendet werden, die mit dem Internet verbunden sind.<\/p>\n\n\n\n \u201eScans, die nach einer bestimmten Kombination von Faktoren suchten, sollten dabei helfen, anf\u00e4llige Instanzen zu identifizieren. Diese Form der IT-\u00dcberwachung wurde auf ein Viertel des Internets angewendet, was 150.000 anf\u00e4llige Ger\u00e4te ergab. Das weist darauf hin, dass m\u00f6glicherweise bis zu 600.000 Ger\u00e4te verwundbare Komponenten aufweisen\u201c, sagt Jared Smith<\/a>, Senior Director of Intelligence bei SecurityScorecard.<\/p>\n\n\n\n Ein weiterer besorgniserregender Punkt ist, dass die Spring-Umgebungen offenbar nur langsam aktualisiert werden. Das zeigen entsprechende Dashboards von Sonatype<\/a>. Sie werten unter anderem aus, wie Patches f\u00fcr Spring4Shell eingesetzt werden. Demnach waren 79 % der Spring-Downloads am 31. M\u00e4rz immer noch verwundbar. Das deutet darauf hin, dass die Entwickler nicht sofort gehandelt haben, um ihre Spring-Instanzen zu aktualisieren. Anwendungen mit ungepatchten Spring-Versionen m\u00fcssen allerdings nicht zwangsl\u00e4ufig anf\u00e4llig sein.<\/p>\n\n\n\n Sonatype betont, dass das Unternehmen, als die Log4Shell-Schwachstelle<\/a> im Dezember letzten Jahres entdeckt wurde, damit begonnen hat, Statistiken zur Behebung des Problems zu ver\u00f6ffentlichen. Trotz dieser Initiative zur Sensibilisierung f\u00fcr das schwerwiegende Problem sind aber immer noch rund 40 % der Log4j2-Downloads anf\u00e4llige Versionen.<\/p>\n\n\n\n Das Unternehmen weist au\u00dferdem darauf hin, dass die Spring4Shell-Sicherheitsl\u00fccke trotz der Namens\u00e4hnlichkeit mit Log4Shell nicht das gleiche Zerst\u00f6rungspotenzial zu haben scheint. F\u00fcr eine erfolgreiche Nutzung von Spring4Shell m\u00fcssten bestimmte Bedingungen erf\u00fcllt sein.<\/a><\/p>\n\n\n\n Dieser Hinweis ist deshalb von Bedeutung, weil Nachrichten \u00fcber die neue Schwachstelle zuvor zu der \u00fcberm\u00e4\u00dfigen Besorgnis gef\u00fchrt hatten<\/a>, dass schwere Sch\u00e4den, wie sie durch Log4Shell im vergangenen Dezember verursacht wurden, erneut zu bew\u00e4ltigen seien. Nach Einsch\u00e4tzung von Sonatype scheint das Risiko jedoch geringer zu sein.<\/p>\n\n\n\n Laut Microsoft<\/a> sollte jedes System, als anf\u00e4llig betrachtet werden, das JDK 9.0 oder h\u00f6her verwendet. Systeme, die auf dem Spring Framework beziehungsweise abgeleiteten Frameworks basieren, z\u00e4hlen ebenfalls als verletzlich. Der Konzern hat \u2013 genau wie vielen andere Instanzen, die sich mit Sicherheitsl\u00fccken besch\u00e4ftigen \u2013 eine \u00dcbersicht mit anf\u00e4lligen Produkten ver\u00f6ffentlicht. Au\u00dferdem listet Microsoft Tools, mit deren Hilfe sich die Gef\u00e4hrdung von Anwendungen einsch\u00e4tzen l\u00e4sst.<\/p>\n\n\n\n So kann beispielsweise die Konsole zur Verwaltung von Bedrohungen und Schwachstellen in Microsoft 365 Defender dabei helfen, das Auftreten einer solchen Schwachstelle zu erkennen und zu melden. Das CERT Coordination Centre an der Carnegie Mellon University wiederum stellt eine Liste von Anbietern zur Verf\u00fcgung, die best\u00e4tigt haben, dass einzelne ihrer Produkte anf\u00e4llig sind<\/a> oder untersucht werden.<\/p>\n\n\n\n![\"\"](\"https:\/\/network-king.net\/wp-content\/uploads\/2022\/04\/sonatype.jpg\")
Wie Sie sich sch\u00fctzen k\u00f6nnen<\/h2>\n\n\n\n