Zranitelnost Springu CVE-2022-22965 a CzechIdM

Spring logo

Po nedávné zranitelnosti v knihovně Log4j otřásá světem další zranitelnost, tentokrát v populárním frameworku Spring. Tato zranitelnost Springu útočníkovi umožňuje podsunout přes REST škodlivý kód k exekuci.

V tomto článku se dozvíte, jaký dopad má tato zranitelnost na bezpečnost CzechIdM, jaké kroky podnikáme, abychom zabránili zneužití této zranitelnosti, a několik tipů, jak se vypořádat s CVE-2022-22965 ve svých aplikacích.

Tento článek bude průběžně doplňován a upravován, situace se bude pravděpodobně v průběhu nadcházejících dnů a týdnů vyvíjet.

Dopad CVE-2022-22965 na CzechIdM

CzechIdM je touto zranitelností Springu v principu ohroženo. Všechny požadavky k tomu, aby byla zranitelnost využita, splňuje. Veškeré naše pokusy o napadení aplikace pomocí této zranitelnosti však byly zatím neúspěšné.

Jak zabezpečit CzechIdM

Byly vydány opravné verze CzechIdM 10.8.5, 11. 2.5 a 12.1.3. Využíváte-li služeb BCV solutions ke správě IdM, bude vás brzy kontaktovat konzultant, který za váš projekt zodpovídá, a ošetřenou verzi nasadí. Provozujete-li CzechIdM sami, neprodleně nasaďte opravnou verzi. Pokud v prostředí používáte starší verzi CzechIdM (9 a nižší), zranitelnost se vás netýká.

Oprava v aplikacích

Nejjistější způsob mitigace v aplikaci je upgrade frameworku Sping na verze 5.3.18 či 5.2.20, resp. Spring Boot 2.6.6 či 2.5.12. Používáte-li však starší verze Springu, není takový upgrade jednoduchou záležitostí. V takovém případě použijte navržený workaround.

Like this:

Další témata