Spring Security: Zugriffskontrollmechanismen in Java-Framework kaputt
Die auf Sicherheitsmechanismen spezialisierte Unterbibliothek des Java-Entwicklungsframeworks kommt in manchen Fallen aus dem Tritt. Updates sind verfügbar.
(Bild: Shutterstock)
Spring Security, die auf Authentifizierung und Zugriffskontrolle spezialisierte Komponente des Spring-Frameworks, reißt in bestimmten Fällen Sicherheitslücken in mit ihrer Hilfe entwickelte Java-Applikationen.
Wie die Entwickler in einem Sicherheitshinweis mitteilen, meldet die Klasse AuthenticatedVoter fälschlich true, wenn die aufrufende Routine ihr einen leeren Authentifizierungs-Parameter übergibt. Die Klasse ist zudem seit Spring Security 5.8 überholt und durch AuthorizationManager ersetzt.
Fünf Versionsbäume betroffen
Die Sicherheitslücke mit der CVE-ID CVE-2024-22257 und dem CVSS-Score 8,2 (Risiko "hoch") ist in mehreren Versionen von Spring Security enthalten und nun in Updates behoben. Verwundbare und reparierte Versionen entnehmen Admins der unten stehenden Tabelle.
| Verwundbare Version | Version des Updates |
| 5.7.0 bis 5.7.11 | 5.7.12 |
| 5.8.0 bis 5.8.10 | 5.8.11 |
| 6.0.0 bis 6.0.9 | 6.0.10 |
| 6.1.0 bis 6.1.7 | 6.1.8 |
| 6.2.0 bis 6.2.2 | 6.2.3 |
Ältere, nicht mehr mit Updates versorgte Versionen des "Spring Security"-Frameworks sind ebenfalls betroffen – Entwickler sollten diese auf einen neueren Stand bringen.
Erst kürzlich hatte das Entwicklerteam von Spring eine neue, alte Sicherheitslücke in der Validierung von URLs behoben.
(cku)
