Alert!

VMware Tanzu Spring Security: Umgehung von Autorisierungsregeln möglich

In VMware Tanzu Spring Security klafft eine kritische Sicherheitslücke, die Angreifern die Umgehung von Autorisierungsregeln ermöglicht.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen
Kriminelle greifen Server an, Admin versucht, den Stecker zu ziehen

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Von

In VMware Tanzu Spring Security können Angreifer eine kritische Sicherheitslücke missbrauchen, um Autorisierungsregeln zu umgehen. Aktualisierte Software steht bereit, die das Sicherheitsleck stopft.

Bei Spring Security handelt es sich um ein weitreichend konfigurierbares Authentifizierungs- und Zugriffskontroll-Framework, das quasi den Standard zur Sicherung von Spring-basierten Anwendungen darstellt. In einer Sicherheitsmitteilung warnen die Spring-Security-Entwickler, dass unter gewissen Umständen in Spring Webflux-Anwendungen, die Spring-Security-Autorisierungsregeln auf statistische Ressourcen einsetzen, jene Regeln umgehbar sind (CVE-2024-38821, CVSS 9.1, Risiko "kritisch"). Konkret müsse es eine Webflux-Anwendung sein, die den Support für statische Ressourcen von Spring nutzt und eine "nicht alles erlauben"-Regel für diese statischen Ressourcen anwende.

Die Sicherheitslücke betrifft Spring Security 5.7.0-5.7.12, 5.8.0-5.8.14, 6.0.0-6.0.12, 6.1.0-6.1.10, 6.2.0-6.2.6, 6.3.0-6.3.3 sowie ältere, inzwischen nicht mehr unterstützte Versionen. Die Versionen 5.7.13, 5.8.15, 6.0.13 und 6.1.11 sind mit Enterprise-Support erhältlich. Die aktualisierten Fassungen 6.2.7 und 6.3.4 stehen als Open Source Software zur Verfügung.

Wer Spring Security einsetzt, sollte die nun verfügbaren Aktualisierungen zügig herunterladen und installieren, da die damit geschlossene Sicherheitslücke als kritisches Risiko eingeordnet wurde. Andernfalls hätten Angreifer ein leichtes Spiel, die Schwachstelle zu missbrauchen.

Im VMware Tanzu Spring Framework klaffen öfter Sicherheitslücken. Im März haben Updates dafür etwa eine Sicherheitslücke geschlossen, die die Entwickler bereits zuvor abgedichtet haben wollten. Es gelang jedoch, diese auf anderem Wege zu missbrauchen, was weitere Aktualisierungen nötig machte.

(dmk)