Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 4 (19.12.24):
Canonical stellt für Ubuntu 24.10, Ubuntu 24.04 LTS, Ubuntu 22.04 LTS,
Ubuntu 20.04 LTS und Ubuntu 18.04 ESM Sicherheitsupdates für ‘libspring-
java’ bereit, um die Schwachstelle zu beheben.
Version 3 (04.04.22):
In vorigen Versionen dieses Sicherheitshinweises wurde fälschlicherweise
die CPE (Common Platform Enumeration) für das Produkt Shibboleth Service
Provider (SP) im Abschnitt zur betroffenen Software angegeben. Richtig
ist, dass Shibboleth Identity Provider (IdP) möglicherweise von der
Schwachstelle betroffen ist.
Version 2 (01.04.22):
Das Apache Tomcat Team hat auf die Veröffentlichung der Schwachstelle mit
den Apache Tomcat 10.0.20, 9.0.62 und 8.5.78 Releases reagiert, um den
Angriffsvektor durch Deaktivierung der Methode
WebappClassLoaderBase.getResources() zu schließen. Hierdurch würden
beispielsweise auch nicht mehr unterstützte Releases von Spring Framework
abgesichert.
Version 1 (01.04.22):
Neues Advisory

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um beliebigen
Programmcode auszuführen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.
Bisher ist nicht abschließend geklärt, welche Voraussetzungen neben der
Laufzeitumgebung JDK9 oder später für eine erfolgreiche Ausnutzung der
Schwachstelle erfüllt sein müssen.

Der Hersteller VMware bietet Sicherheitsupdates für das Spring Framework in
den Versionen 5.3.18 und 5.2.20 an. Das darauf aufbauende Spring Boot wurde
ebenfalls aktualisiert und steht in den Versionen 5.2.12 und 5.6.6 zur
Verfügung.

Das Shibboleth Projekt stellt die Version 4.1.6 des Identity Provider
bereit, um das Spring Framework auf die Version 5.3.18 zu aktualisieren.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2022-0735]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 3 (04.04.22):
In vorigen Versionen dieses Sicherheitshinweises wurde fälschlicherweise
die CPE (Common Platform Enumeration) für das Produkt Shibboleth Service
Provider (SP) im Abschnitt zur betroffenen Software angegeben. Richtig
ist, dass Shibboleth Identity Provider (IdP) möglicherweise von der
Schwachstelle betroffen ist.
Version 2 (01.04.22):
Das Apache Tomcat Team hat auf die Veröffentlichung der Schwachstelle mit
den Apache Tomcat 10.0.20, 9.0.62 und 8.5.78 Releases reagiert, um den
Angriffsvektor durch Deaktivierung der Methode
WebappClassLoaderBase.getResources() zu schließen. Hierdurch würden
beispielsweise auch nicht mehr unterstützte Releases von Spring Framework
abgesichert.
Version 1 (01.04.22):
Neues Advisory

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um beliebigen
Programmcode auszuführen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.
Bisher ist nicht abschließend geklärt, welche Voraussetzungen neben der
Laufzeitumgebung JDK9 oder später für eine erfolgreiche Ausnutzung der
Schwachstelle erfüllt sein müssen.

Der Hersteller VMware bietet Sicherheitsupdates für das Spring Framework in
den Versionen 5.3.18 und 5.2.20 an. Das darauf aufbauende Spring Boot wurde
ebenfalls aktualisiert und steht in den Versionen 5.2.12 und 5.6.6 zur
Verfügung.

Das Shibboleth Projekt stellt die Version 4.1.6 des Identity Provider
bereit, um das Spring Framework auf die Version 5.3.18 zu aktualisieren.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2022-0735]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (01.04.22):
Das Apache Tomcat Team hat auf die Veröffentlichung der Schwachstelle mit
den Apache Tomcat 10.0.20, 9.0.62 und 8.5.78 Releases reagiert, um den
Angriffsvektor durch Deaktivierung der Methode
WebappClassLoaderBase.getResources() zu schließen. Hierdurch würden
beispielsweise auch nicht mehr unterstützte Releases von Spring Framework
abgesichert.
Version 1 (01.04.22):
Neues Advisory

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um beliebigen
Programmcode auszuführen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.
Bisher ist nicht abschließend geklärt, welche Voraussetzungen neben der
Laufzeitumgebung JDK9 oder später für eine erfolgreiche Ausnutzung der
Schwachstelle erfüllt sein müssen.

Der Hersteller VMware bietet Sicherheitsupdates für das Spring Framework in
den Versionen 5.3.18 und 5.2.20 an. Das darauf aufbauende Spring Boot wurde
ebenfalls aktualisiert und steht in den Versionen 5.2.12 und 5.6.6 zur
Verfügung.

Das Shibboleth Projekt stellt die Version 4.1.6 des Identity Provider
bereit, um das Spring Framework auf die Version 5.3.18 zu aktualisieren.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2022-0735]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html