Zranitelnost Springu CVE-2022-22965 a CzechIdM
Po nedávné zranitelnosti v knihovně Log4j otřásá světem další zranitelnost, tentokrát v populárním frameworku Spring. Tato zranitelnost Springu útočníkovi umožňuje podsunout přes REST škodlivý kód k exekuci.
V tomto článku se dozvíte, jaký dopad má tato zranitelnost na bezpečnost CzechIdM, jaké kroky podnikáme, abychom zabránili zneužití této zranitelnosti, a několik tipů, jak se vypořádat s CVE-2022-22965 ve svých aplikacích.
Tento článek bude průběžně doplňován a upravován, situace se bude pravděpodobně v průběhu nadcházejících dnů a týdnů vyvíjet.
Dopad CVE-2022-22965 na CzechIdM
CzechIdM je touto zranitelností Springu v principu ohroženo. Všechny požadavky k tomu, aby byla zranitelnost využita, splňuje. Veškeré naše pokusy o napadení aplikace pomocí této zranitelnosti však byly zatím neúspěšné.
Jak zabezpečit CzechIdM
Byly vydány opravné verze CzechIdM 10.8.5, 11. 2.5 a 12.1.3. Využíváte-li služeb BCV solutions ke správě IdM, bude vás brzy kontaktovat konzultant, který za váš projekt zodpovídá, a ošetřenou verzi nasadí. Provozujete-li CzechIdM sami, neprodleně nasaďte opravnou verzi. Pokud v prostředí používáte starší verzi CzechIdM (9 a nižší), zranitelnost se vás netýká.
Oprava v aplikacích
Nejjistější způsob mitigace v aplikaci je upgrade frameworku Sping na verze 5.3.18 či 5.2.20, resp. Spring Boot 2.6.6 či 2.5.12. Používáte-li však starší verze Springu, není takový upgrade jednoduchou záležitostí. V takovém případě použijte navržený workaround.
