Die Entwickler des beliebten Spring Frameworks haben erneut einen Fehler in der Verarbeitung von URLs entdeckt und behoben. Diesmal handelt es sich um eine fehlerhafte Logik in der Klasse UriComponentsBuilder, die bei bestimmten Sonderzeichen die URL nicht korrekt in ihre Bestandteile zerlegt. Das kann dazu f\u00fchren, dass Angreifer unerw\u00fcnschte Web-Adressen aufrufen oder eine Schwachstelle f\u00fcr Open Redirect ausnutzen k\u00f6nnen. Kein Grund zur Panik, aber dennoch wichtig, den Fehler schnellstm\u00f6glich zu beheben.<\/p>\n
Der knappe Advisory-Text gibt an, dass es sich bei dem Fehler um eine Variante eines bereits vor einigen Wochen ver\u00f6ffentlichten Fehlers handelt. Die CVE-ID des Fehlers lautet CVE-2024-22259 und die CVSS-Punktzahl betr\u00e4gt 8,1\/10, was als hohes Risiko eingestuft wird. Das klingt nach einer ernsthaften Sache, aber keine Sorge, das Spring-Team hat den Fehler bereits behoben.<\/p>\n
Um den Fehler zu provozieren, f\u00fcgt der Angreifer zwischen dem User- und Host-Part einer URL einfach ein „\/“ hinzu. Das Spring Framework interpretiert dann die URL „http:\/\/gut.de@boese.de“ irrt\u00fcmlicherweise so, dass „gut.de“ als Domain betrachtet wird, anstatt sie in den Benutzernamen-Teil „gut.de“ und den Domain-Teil „boese.de“ aufzuteilen. Das kann zu Problemen bei \u00dcberpr\u00fcfungen f\u00fchren, beispielsweise bei der Pr\u00fcfung, ob eine Domain bestimmte Zeichenketten enth\u00e4lt und daher auf einer Blockliste steht.<\/p>\n
Das Spring-Team empfiehlt allen Entwicklern, schnellstm\u00f6glich Updates durchzuf\u00fchren. Der Fehler wurde in den Versionen 6.1.0 bis 6.1.3 entdeckt und ist in Version 6.1.4 behoben worden. Auch die Versionen 6.0.0 bis 6.0.16 waren betroffen, aber in Version 6.0.17 wurde der Patch eingef\u00fchrt. Falls ihr noch Version 5.3.0 bis 5.3.31 verwendet, ist es ratsam, auf Version 5.3.32 zu aktualisieren.<\/p>\n
Es ist interessant zu erw\u00e4hnen, dass VMware Tanzu der Sponsor des Spring Frameworks ist. Vor genau einem Jahr wurden bereits mehrere Schwachstellen in der Bibliotheksammlung von den Entwicklern behoben. Es ist gut zu wissen, dass solche Probleme aktiv behandelt und gel\u00f6st werden, um die Sicherheit der Anwendungen zu gew\u00e4hrleisten.<\/p>\n
Insgesamt ist dieser neue Fehler ein weiteres Beispiel daf\u00fcr, wie wichtig es ist, regelm\u00e4\u00dfige Updates durchzuf\u00fchren und Sicherheitsl\u00fccken schnell zu beheben. Also, liebe Entwickler, lasst uns den Code \u00fcberpr\u00fcfen, die Updates installieren und uns vor unerw\u00fcnschten URL-Problemen sch\u00fctzen!<\/p>\n
Schlagw\u00f6rter: Spring Framework + Frameworks + CVE-2024-22259<\/p>\n","protected":false},"excerpt":{"rendered":"
Die Entwickler des beliebten Spring Frameworks haben erneut einen Fehler in der Verarbeitung von URLs entdeckt und behoben. Diesmal handelt es sich um eine fehlerhafte Logik in der Klasse UriComponentsBuilder, die bei bestimmten Sonderzeichen die URL nicht korrekt in ihre Bestandteile zerlegt. Das kann dazu f\u00fchren, dass Angreifer unerw\u00fcnschte Web-Adressen...<\/p>\n","protected":false},"author":4,"featured_media":5698,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-5699","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/5699","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5699"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/5699\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/5698"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5699"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5699"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5699"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}