FEHLER!

Neuer Fehler im Spring Framework: URLs brechen auseinander!

Die Entwickler des beliebten Spring Frameworks haben erneut einen Fehler in der Verarbeitung von URLs entdeckt und behoben. Diesmal handelt es sich um eine fehlerhafte Logik in der Klasse UriComponentsBuilder, die bei bestimmten Sonderzeichen die URL nicht korrekt in ihre Bestandteile zerlegt. Das kann dazu führen, dass Angreifer unerwünschte Web-Adressen aufrufen oder eine Schwachstelle für Open Redirect ausnutzen können. Kein Grund zur Panik, aber dennoch wichtig, den Fehler schnellstmöglich zu beheben.

Der knappe Advisory-Text gibt an, dass es sich bei dem Fehler um eine Variante eines bereits vor einigen Wochen veröffentlichten Fehlers handelt. Die CVE-ID des Fehlers lautet CVE-2024-22259 und die CVSS-Punktzahl beträgt 8,1/10, was als hohes Risiko eingestuft wird. Das klingt nach einer ernsthaften Sache, aber keine Sorge, das Spring-Team hat den Fehler bereits behoben.

Um den Fehler zu provozieren, fügt der Angreifer zwischen dem User- und Host-Part einer URL einfach ein „/“ hinzu. Das Spring Framework interpretiert dann die URL „http://gut.de@boese.de“ irrtümlicherweise so, dass „gut.de“ als Domain betrachtet wird, anstatt sie in den Benutzernamen-Teil „gut.de“ und den Domain-Teil „boese.de“ aufzuteilen. Das kann zu Problemen bei Überprüfungen führen, beispielsweise bei der Prüfung, ob eine Domain bestimmte Zeichenketten enthält und daher auf einer Blockliste steht.

Das Spring-Team empfiehlt allen Entwicklern, schnellstmöglich Updates durchzuführen. Der Fehler wurde in den Versionen 6.1.0 bis 6.1.3 entdeckt und ist in Version 6.1.4 behoben worden. Auch die Versionen 6.0.0 bis 6.0.16 waren betroffen, aber in Version 6.0.17 wurde der Patch eingeführt. Falls ihr noch Version 5.3.0 bis 5.3.31 verwendet, ist es ratsam, auf Version 5.3.32 zu aktualisieren.

Es ist interessant zu erwähnen, dass VMware Tanzu der Sponsor des Spring Frameworks ist. Vor genau einem Jahr wurden bereits mehrere Schwachstellen in der Bibliotheksammlung von den Entwicklern behoben. Es ist gut zu wissen, dass solche Probleme aktiv behandelt und gelöst werden, um die Sicherheit der Anwendungen zu gewährleisten.

Insgesamt ist dieser neue Fehler ein weiteres Beispiel dafür, wie wichtig es ist, regelmäßige Updates durchzuführen und Sicherheitslücken schnell zu beheben. Also, liebe Entwickler, lasst uns den Code überprüfen, die Updates installieren und uns vor unerwünschten URL-Problemen schützen!

Schlagwörter: Spring Framework + Frameworks + CVE-2024-22259

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 18. März 2024