VMware Tanzu Spring Security: Umgehung von Autorisierungsregeln möglich
In VMware Tanzu Spring Security klafft eine kritische Sicherheitslücke, die Angreifern die Umgehung von Autorisierungsregeln ermöglicht.
In VMware Tanzu Spring Security können Angreifer eine kritische Sicherheitslücke missbrauchen, um Autorisierungsregeln zu umgehen. Aktualisierte Software steht bereit, die das Sicherheitsleck stopft.
Bei Spring Security handelt es sich um ein weitreichend konfigurierbares Authentifizierungs- und Zugriffskontroll-Framework, das quasi den Standard zur Sicherung von Spring-basierten Anwendungen darstellt. In einer Sicherheitsmitteilung warnen die Spring-Security-Entwickler, dass unter gewissen Umständen in Spring Webflux-Anwendungen, die Spring-Security-Autorisierungsregeln auf statistische Ressourcen einsetzen, jene Regeln umgehbar sind (CVE-2024-38821, CVSS 9.1, Risiko "kritisch"). Konkret müsse es eine Webflux-Anwendung sein, die den Support für statische Ressourcen von Spring nutzt und eine "nicht alles erlauben"-Regel für diese statischen Ressourcen anwende.
Spring Security: Verwundbare Versionen
Die Sicherheitslücke betrifft Spring Security 5.7.0-5.7.12, 5.8.0-5.8.14, 6.0.0-6.0.12, 6.1.0-6.1.10, 6.2.0-6.2.6, 6.3.0-6.3.3 sowie ältere, inzwischen nicht mehr unterstützte Versionen. Die Versionen 5.7.13, 5.8.15, 6.0.13 und 6.1.11 sind mit Enterprise-Support erhältlich. Die aktualisierten Fassungen 6.2.7 und 6.3.4 stehen als Open Source Software zur Verfügung.
Wer Spring Security einsetzt, sollte die nun verfügbaren Aktualisierungen zügig herunterladen und installieren, da die damit geschlossene Sicherheitslücke als kritisches Risiko eingeordnet wurde. Andernfalls hätten Angreifer ein leichtes Spiel, die Schwachstelle zu missbrauchen.
Im VMware Tanzu Spring Framework klaffen öfter Sicherheitslücken. Im März haben Updates dafür etwa eine Sicherheitslücke geschlossen, die die Entwickler bereits zuvor abgedichtet haben wollten. Es gelang jedoch, diese auf anderem Wege zu missbrauchen, was weitere Aktualisierungen nötig machte.
(dmk)