CVE-2022-22963 ve Spring4Shell

Java Spring Framework için iki kritik zaafiyet duyuruldu. Synopsys Black Duck Knowledge Base içinde BDSA-2022-0850 numarasıyla takip edilen birinci zafiyete (CVE-2022-22963) çözüm için Black Duck üzerinde bir güncelleme yolu tanımlandı. 

İkinci zafiyet Spring4Shell, belirli koşullar altında saldırganın uzaktan komut çalıştırmasına imkan veriyor. Bunun için henüz bir CVE tanımlanmış değil, ancak Synopsys Siber Güvenlik Araştırma ekibi zafiyet üzerinde aktif olarak çalışıyor, yakında detaylı bir etki raporu ve riskin giderilmesi için gerekli adımlarla ilgili tavsiyeleri yayınlayacaklar.

Bu güvenlik açıkları bize, hangi açık kaynak bileşenlerini kullandığımızı bilmenin ve zafiyetleri önceliklendirmenin ne kadar önemli olduğunu bir kere daha hatırlatıyor.

Synopsys Black Duck gibi bir yazılım kompozisyon analizi (SCA – Software Composition Analysis) çözümü tam olarak bunu yapar. Bir  uygulama için bir Yazılım Malzeme Listesi (SBOM) oluşturabilir ve kullandığınız bileşenlerde yeni güvenlik açıkları açıklandığında sizi proaktif olarak bilgilendirebilir.

Şu an mevcut Black Duck müşterilerimiz, Black Duck panellerinde bu iki zaafiyet için de, etkilenmiş olan uygulamalarının bilgilerine ulaşabiliyorlar.

İhtiyaç halinde, Forcerta olarak detaylı bilgi sağlamaktan memnuniyet duyarız. [email protected] adresine e-posta göndererek veya aşağdaki formu doldurarak bizimle iletişime geçebilirsiniz.

Detaylı bilgilere buradan ulaşabilirsiniz:

• Spring Framework RCE, Early Announcement
• CyRC Vulnerability Analysis: Two distinct Spring vulnerabilities discovered – Spring4Shell and CVE-2022-22963 – Security Boulevard