Sicherheitsrisiko durch fehlerhafte SSL-Konfigurationen im VMware Tanzu Spring Cloud Gateway entdeckt

Ein kürzlich aufgedeckter Fehler im VMware Tanzu Spring Cloud Gateway führte dazu, dass bestimmte SSL-Konfigurationen nicht korrekt angewendet wurden. Die betroffenen Nutzer blieben zwar unbeeindruckt von dieser Fehlfunktion, dennoch birgt sie ein relevantes Sicherheitsrisiko. Der Ursprung des Problems lag in der Verarbeitung von SSL-Bundles über die Codespring-Komponente codespring.ssl.bundle/code. Durch einen Fehler bei der Konfiguration dieser Bundles wurden bestimmte Einstellungen ignoriert, und stattdessen wurde die Standard-SSL-Konfiguration des Gateways verwendet. Für Administratoren, die individuelle, sicherheitsrelevante Anpassungen vorgenommen hatten, bedeutete dies, dass ihre Änderungen nicht übernommen wurden. Diese Nichtanwendung führte zu einer Schwachstelle (CVE-2026-22750), da potenziell sensible Sicherheitskonfigurationen nicht wie vorgesehen umgesetzt wurden. Die Bewertung der Schwachstelle wurde mit „hoch“ klassifiziert. Es gibt bis dato keine Hinweise auf bereits stattgefundene Angriffe, aber die Möglichkeit eines Missbrauchs besteht weiterhin. Um diese Lücke zu schließen, haben die Entwickler in Spring Cloud Gateway 4.2.1 (Enterprise Support Only) einen Patch veröffentlicht, der den Fehler behebt und die korrekte Anwendung von SSL-Konfigurationen gewährleistet.

Schlagwörter: Tanzu Spring Cloud Gateway + codespring.ssl.bundle/code + Gateways

Wie bewerten Sie den Schreibstil des Artikels?