VMware Tanzu Spring: Updates gegen teils kritische Sicherheitslücken
Aktualisierte Versionen von VMware Tanzu Spring schließen Sicherheitslücken. Eine davon gilt als kritisch.
(Bild: Shutterstock)
Updates für VMware Tanzu Spring dichten Sicherheitslücken ab. Davon gilt eine als kritisch, eine weitere als hochriskant. Administratorinnen und Administratoren sollten die Aktualisierungen zügig anwenden.
VMware Tanzu dient als Virtualisierungslösung vor containerisierte Anwendungen. Diese nutzen das Java Spring Framework, es geht also um Java-Anwendungen in der JVM (Java VIrtual Machine).
Eine VMWare Tanzu Spring-Lücke klingt bekannt
Eine Lücke klingt wie ein Wiedergänger von der bereits im März geschlossenen Lücke CVE-2023-20860: Die Nutzung einer doppelten Wildcard "**" als Pattern in der Spring Security-Konfiguration erzeugt abweichende Mustervergleiche zwischen Spring Security und Spring Webflux, was die Möglichkeit der Umgehung von Sicherungen eröffnet (CVE-2023-34034, CVSS 9.1, Risiko "kritisch").
Die Versionen 6.1.2, 6.0.5, 5.8.5, 5.7.10 sowie 5.6.12 oder neuer von Spring Security schließen die Sicherheitslücke. Sie benötigen laut Sicherheitsmeldung die Spring Framework-Versionen 6.0.11, 5.3.29 respektive 5.2.25 oder höhere Stände.
Spring Security könne zudem falsch konfigurierte Autorisierungsregeln anfällig sein, wenn die Anwendung requestMatchers(String) und mehrere Servlets verwendet, von denen eines das DispatcherServlet von Spring MVC ist. Weitere Nebenbedingung sei, dass Spring MVC im Klassenpfad liegen muss (CVE-.2023-34035, CVSS 7.3, hoch). Das Problem beseitigen laut Sicherheitsmeldung die Versionen 6.1.2, 6.0.5 sowie 5.8.5 von Spring Security.
IT-Verantwortliche sollten die bereitstehenden Aktualisierungen zügig herunterladen und installieren. Andernfalls bietet die Installation Cyberkriminellen eine unnötig große Angriffsfläche.
(dmk)
