Découvrez notre société Contactez-nous

e-Xpert Solutions Genève

109, chemin du Pont-Du-Centenaire
CH-1228 Plan-les-Ouates / Genève
SUISSE

Tel. : +41 22 727 05 55 Fax : +41 22 727 05 50

e-Xpert Solutions Lausanne

Avenue de Gratta-Paille 20
CH-1018 Lausanne
SUISSE

Tel. : +41 21 802 26 78 Fax : +41 22 727 05 50
Contactez notre support : +41 22 727 05 56
En cochant cette case, vous acceptez notre politique de confidentialité disponible en cliquant ici
Envoyez votre message

Swiss Security Hackademy

Suivez notre blog bilingue en sécurité informatique !

Retour aux articles

Vulnérabilités Spring : Status de nos produits


Auteur : Thomas Kündig

Date de publication : 1 avril 2022 - Dernière mise à jour : 11 avril 2022


Durant la semaine du 28 mars 2022, les vulnérabilités CVE-2022-22963 et CVE-2022-22965 ont été publiées. Ce sont deux failles critiques de type RCE non authentifié concernant des modules "Spring" utilisée dans des applications WEB basée sur JAVA.

Update 04.04.2022 : Au vu de la complexité et les conditions spécifique nécessaire à leur exploitation, il est très probable que la criticité des vulnérabilités soit revu à la baisse.

La deuxième vulnérabilité a été surnommée "Spring4Shell" en référence aux vulnérabilités de la fin d'année passée "Log4J" ou "Log4Shell".

Malgré la criticité élevée des failles, nous sommes dans une situation radicalement différente qu'avec Log4j. L'exploitation ne peut se faire qu'au travers d'applications WEB. De plus, à la différence des failles Log4j, leur exploitation se fait avec de l'injection de code java standard. Ce qui sous-entend qu'avec les bonnes configurations, la plupart des attaques devraient pouvoir être détectées par des signatures génériques déjà connues par nos WAF. Il est toutefois nécessaire de vérifier leur bonne configuration.

D'après les premières analyses, pour la CVE-2022-22963 les conditions suivante doivent être réunie pour être vulnérable:

  • Versions Spring Cloud Function 3.1.6, 3.2.2 et versions antérieures non supportées
  • JDK >= 9

Pour la CVE-2022-22965 :

  • Java Web framework Spring < 5.3.18 ou 5.2.20
  • JDK >= 9
  • Déploiement sur une serveur Tomcat (encore en cours de validation)
  • Packaged as a traditional WAR (in contrast to a Spring Boot executable jar)
  • Les dépendances spring-webmvc ou spring-webflux.

Afin de corriger les failles, il vous faut :

  • CVE-2022-22965:
    • versions 5.3.x : à mettre à jour avec la version 5.3.18+
    • 5.2.x versions : à mettre à jour avec la version 5.2.20+
  • CVE-2022-22963:
    • Mettre à jour la version de Spring Cloud Function aux versions 3.1.7 ou 3.2.3.

Nos équipes se tiennent à votre disposition si vous souhaitez plus d’informations.
Le tableau suivant vous permettra de visualiser la mise à jour la plus récente du statut concernant la vulnérabilité des produits que nous vous proposons :

Editor CVE-2022-22963 CVE-2022-22965
ALTIPEAK / Safewalk Non vulnérable Non vulnérable
BACKBOX Non vulnérable Non vulnérable
BeyondTrust / BOMGAR Non vulnérable Non vulnérable
Broadcom / BLUECOAT Non vulnérable
Lien
Non vulnérable
Lien
CHECKPOINT** Non vulnérable
Lien
Non vulnérable
Lien
CLAVISTER Non vulnérable Non vulnérable
Clearswift Secure Gateway Non vulnérable Non vulnérable
ENTRUST Non vulnérable Non vulnérable
F5** Non vulnérable
Lien
Non vulnérable
Lien
FORCEPOINT Majoritairement non vulnérable
En cours d'investigation pour : CASB, Proxy WEB Cloud, F1E endpoint
Majoritairement non vulnérable
En cours d'investigation pour : CASB, Proxy WEB Cloud, F1E endpoint
GUARDICORE** Non vulnérable Non vulnérable
IDNOMIC Non vulnérable Non vulnérable
LUMENSION IVANTI En cours d'investigation En cours d'investigation
McAfee ePolicy Orchestrator En cours d'investigation En cours d'investigation
McAfee Web Gateway En cours d'investigation En cours d'investigation
Nginx+ Non vulnérable
Lien
Non vulnérable
Lien
PICUS En cours d'investigation Non vulnérable
PROOFPOINT En cours d'investigation En cours d'investigation
QUALYS En cours d'investigation En cours d'investigation
Rohde Schwarz - WAF** En cours d'investigation En cours d'investigation
RSA SecuriID Access Non vulnérable
Lien
Non vulnérable
Lien
RSA SecuriID Identity Router Non vulnérable Non vulnérable
SPLUNK En cours d'investigation En cours d'investigation
TOTEMO / Kiteworks Non vulnérable Non vulnérable
TUFIN Non vulnérable
Référence
Non vulnérable
Référence
VMware Workspace ONE Non vulnérable Non vulnérable
* Les produits que nous proposons ne sont pas vulnérables. D'autres du même éditeurs peuvent l'être.
** Les produits de ces éditeurs proposent des solutions pour aider à mitiger le risque par des signatures WAF ou IPS.
Les informations contenues dans cet article correspondent à l'état de nos connaissances basées sur les informations et annonces des éditeurs.