Am 29. März 2022 wurde eine Zero-Day-Sicherheitslücke bekannt, die Webapplikationen auf Basis des Spring Frameworks betrifft und es Angreifern ermöglicht, beliebigen Code aus der Ferne auszuführen. Mehr Informationen erfahren Sie in der offiziellen Stellungnahme von Spring.
Auch CORONIC setzt auf Java in Verbindung mit dem Spring Framework. Hier können wir aber Entwarnung geben: weder die Server-Familien der VISOR Computercheck Reihe, noch des gehärteten PROTECT Browsers, noch der SIGN Transaktions-Autorisierung sind von der aktuellen Sicherheitslücke betroffen. Die eigentliche Sicherheitslücke steckt in einer Komponente, die das Bindeglied zwischen Webseitenaufruf und Serverimplementierung darstellt. Der Angreifer kann manipulierte Anfragen an einen betroffenen Server schicken und dieser schreibt dann potenziell bösartige Daten in das Dateisystem des Servers oder führt sie aus. Dadurch erlangt der Angreifer die vollständige Kontrolle über den betroffenen Java-Server. Inzwischen haben es auch Hackergruppen auf die Sicherheitslücke abgesehen.
Eine aktuelle Version des Spring Frameworks kann inzwischen eingespielt werden und hat dieses Einfallstor geschlossen. Für Technikinteressierte hier die Meldungen von Heise.