Spring Framework: Updates beheben neue, alte SicherheitslĂĽcke
Nutzen Spring-basierte Anwendungen eine URL-Parsing-Funktion des Frameworks, öffnen sie sich für verschiedene Attacken. Nicht zum ersten Mal.
Die Entwickler des Spring Frameworks haben erneut einen Fehler in der Verarbeitung von URLs gefunden und behoben. In der Klasse UriComponentsBuilder
findet sich eine fehlerhafte Verarbeitungslogik, die die URL bei Vorkommen bestimmter Sonderzeichen irrtümlicherweise nicht korrekt in ihre Bestandteile zerlegt. So können Angreifer die verwundbare Anwendung möglicherweise dazu bringen, unerwünschte Web-Adressen aufzurufen oder eine "Open Redirect"-Schwachstelle erzeugen.
Gemäß dem knappen Advisory-Text handelt es sich bei dem Fehler mit der CVE-ID CVE-2024-22259 und der CVSS-Punktzahl 8,1/10 (Risiko "hoch") lediglich um eine Variante der vor einigen Wochen veröffentlichten CVE-2024-22243.
Jener Fehler lässt sich offenbar provozieren, indem der Angreifer einer URL ein "[
" zwischen User- und Host-Part beifĂĽgt. Eine URL der Form http://gut.de[@boese.de
wird so nicht etwa in den Benutzernamen-Teil "gut.de[
" und den Domain-Teil "boese.de
" aufgespalten, sondern offenbar interpretiert das Spring Framework irrtĂĽmlich "gut.de
" als Domain. Durch diesen Fehler können Überprüfungen – etwa, ob eine Domain bestimmte Zeichenketten enthält und somit auf einer Blockliste steht – fehlschlagen. Die nun gemeldete Sicherheitslücke dürfte auf einem ähnlichen Trick beruhen.
Updates für drei Versionsbäume
Das Spring-Team empfiehlt Entwicklern, zĂĽgig Updates einzuspielen:
- Version 6.1.0 bis 6.1.3 enthielt den Fehler, er ist in Version 6.1.4 behoben,
- ebenso waren 6.0.0 bis 6.0.16 fehlerhaft – Version 6.0.17 enthält den Flicken und
- wer noch auf Version 5.3.0 bis 5.3.31 setzt, sollte auf Version 5.3.32 updaten.
Das Spring Framework wird von VMware Tanzu gesponsort. Vor genau einem Jahr hatten die Entwickler bereits mehrere Löcher in der Bibliotheksammlung behoben.
(cku)