Spring Framework: Angreifer können Dateien einsehen
Updates schlieĂźen Schwachstellen in Spring Framework. FĂĽr einige Versionen ist der Support ausgelaufen und Patches gibt es nicht mehr fĂĽr alle Nutzer.
(Bild: Artur Szczybylo/Shutterstock.com)
Softwareentwickler, die mit Spring Framework arbeiten, sollten die Entwicklungsumgebung aus Sicherheitsgründen auf den aktuellen Stand bringen. Andernfalls können Angreifer an zwei Sicherheitslücken ansetzen und Systeme attackieren.
Sicherheitspatches
In einer Warnmeldung fĂĽhren die Entwickler zwei SicherheitslĂĽcken (CVE-2024-38819 "hoch", CVE-2024-38820 "mittel") auf. Sie geben an, die Schwachstellen in der Ausgabe 6.1.14 geschlossen zu haben. Der Support fĂĽr Spring Framework 5.3.x und 6.0.x ist einem Supportbeitrag zufolge im August dieses Jahres ausgelaufen. Die kommerziellen Releases 5.3.41 und 6.0.25 sollen den Fix aber enthalten.
Spring Boot ist in den Versionen 2.7.22.2, 3.0.17.2 und 3.1.13.2 abgesichert.
Die Gefahren
Nutzen Angreifer die Lücken erfolgreich aus, können sie unter anderem über präparierte HTTP-Anfragen beliebige Dateien auf Systemen einsehen. Bislang gibt es keine Meldungen zu bereits laufenden Attacken.
(des)
