Schwachstelle in Spring4Shell aufgedeckt – Aruba nicht betroffen

In dem Open-Source-Framework „Spring“, einer Java-basierte Plattform welche häufig für Webapplikationen verwendet wird, wurde am 27.03.22 von VMWare eine sog. Remote Code Execution Schwachstelle entdeckt. Remote Code Execution, abgekürzt RCE, bedeutet das nicht authentisierte Einschleusen von Fremdcode auf ein Produktivsystem von außerhalb der Infrastruktur.

Bisher sind insgesamt vier unterschiedliche Angriffsvektoren als CVE (Common Vulnerabilites and Exposures) veröffentlicht worden, darunter drei als RCE-Vektoren und ein DoS-Vektor (Denial-of-Service). Die Entwickler von Spring, VMWare und Pivotal Software, haben bereits Patches veröffentlicht, die diese Schwachstellen beheben.

Folgende CVEs sind betroffen:

  • CVE-2022-22947                              Spring Cloud; RCE-Vektor
  • CVE-2022-22950                              Spring Beans; RCE-Vektor
  • CVE-2022-22963                              Springframework; DoS-Vektor
  • CVE-2022-22965                              Spring Cloud Gateway; RCE-Vektor

HPE Aruba hat nach einer Prüfung des Produktportfolios bekannt gegeben, dass keine Aruba-Produkte von den Schwachstellen betroffen sind und somit keine Handlung zur Vorbeugung vorgenommen werden muss.

Weitere Informationen zu den oben beschriebenen Schwachstellen sind hier zu finden:

https://nvd.nist.gov/vuln/detail/CVE-2022-22947

https://nvd.nist.gov/vuln/detail/CVE-2022-22950

https://nvd.nist.gov/vuln/detail/CVE-2022-22963

https://nvd.nist.gov/vuln/detail/CVE-2022-22965

https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-006.txt