Kritische Sicherheitslücke Spring4Shell – FTAPI reagiert

Im quelloffenen Java-Framework Spring wurde die Zero-Day-Sicherheitslücke namens Spring4Shell (CVE-2022-22965) entdeckt. Die Sicherheitslücke ermöglicht es Angreifern, eigenen Code auf den betroffenen Servern auszuführen. Da es sich um ein weit verbreitetes Framework handelt, sind viele Anbieter und Lösungen von der Schwachstelle betroffen.

Die Entwicklergruppe rund um Spring hat bereits eine Version bereitgestellt, die diese Lücke nicht mehr enthält. Auch FTAPI arbeitet mit Hochdruck daran, eine neue Version 4.13.1 sowohl für unsere OnPremise- als auch für unsere OnDemand-Kunden zur Verfügung zu stellen. Wir werden Ihnen das Update noch im Laufe des heutigen Tages zur Verfügung stellen. 

Wir halten Sie auf dem Laufenden und informieren Sie über unsere Newsletter über aktuelle Entwicklungen. Auch den Blog-Beitrag werden wir laufend für Sie aktualisieren.

Aktualisiert am 01. April 2022, 14.45 Uhr

Kein Handlungsbedarf für Cloud-Kunden

Um die Sicherheitslücke zu schließen ist das entsprechende Sicherheitsupdate ab sofort verfügbar. Bei unseren Cloud-Kunden wird das Update heute, 15.00 Uhr, automatisch eingespielt. Ihr OnDemand-Server ist dann auf dem aktuellsten Stand und umfassend abgesichert. Für Sie und Ihre Administratoren besteht kein weiterer Handlungsbedarf.

Handlungsempfehlungen für OnPremise-Kunden

Um die Sicherheitslücke schnellstmöglich zu schließen, empfehlen wir all unseren OnPremise-Kunden dringend, das Release 4.13.1 umgehend einzuspielen.

Das Release-Update finden Sie hier. Zusätzlich haben wir hier eine ausführliche Update-Anleitung für Sie zusammengestellt. Bitte berücksichtigen Sie alle beschriebenen Schritte, da es sonst zu Problemen während des Updates kommen kann. Sollte ein Update nicht möglich sein oder sollten Sie Fragen haben, melden Sie sich gerne unter support@ftapi.com

Hinweis: Von der Sicherheitslücke ist nur der SecuTransfer-Server betroffen. Für die Clients (Desktop App, Outloook Add-In, Mobile Apps) besteht kein Handlungsbedarf.

Hintergrundinformationen

Mit Spring4Shell ist eine Sicherheitslücke im Spring MVC Framework (5.3.17) entdeckt worden, die die sogenannte “WebDataBinder”-Schnittstelle ausnutzt. Diese wird in der Regel genutzt, um Daten zwischen der Web-Anwendung im Browser und dem dazugehörigen Web-Server auszutauschen. 

Die Sicherheitslücke besteht nun im Kern darin, dass die “WebDataBinder”-Schnittstelle mit speziellen Daten befüllt werden kann, so dass einem Angreifer potenziell erlaubt wird, beliebigen Code einzuschleusen. Da sich das Spring Framework bei der Entwicklung von Enterprise-Software mit Java nicht nur bei FTAPI größter Beliebtheit erfreut, sind viele Systeme und Anwendungen potenziell durch diese Sicherheitslücke bedroht.

Eine tiefere technische Erläuterung der Problematik finden Sie in den nachfolgenden nützlichen Links zu Spring4Shell:
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
https://github.com/lunasec-io/lunasec/blob/master/docs/blog/2022-03-30-spring-core-rce.mdx