Compart - Dokumenten und Output-Management

Wichtige Informationen zu CVE-2022-22965
("Spring4Shell")

Sehr geehrte Compart-Kunden,

wie Sie vielleicht aus der Presse erfahren haben, wurde vor kurzem eine Sicherheitslücke in einem weit verbreiteten Framework für die Entwicklung von Java-basierten Unternehmensanwendungen (Spring Framework) entdeckt und als CVE-2022-22965 veröffentlicht. Unmittelbar nach Bekanntwerden dieser Sicherheitslücke am 31. März 2022 hat Compart damit begonnen, mögliche Auswirkungen auf ihre Produkte zu untersuchen und Gegenmaßnahmen zu ergreifen.

 

Die Sicherheitslücke ist in den folgenden Versionen des Spring-Frameworks behoben:

  • 5.3.18+
  • 5.2.20+

Die Spring Boot-Versionen 2.5.12 und 2.6.6, die von den oben genannten Versionen abhängen, wurden ebenfalls veröffentlicht. CVE-2022-22965 betrifft nur Spring-Versionen mit Java >/= 9 (Java 8 ist nicht betroffen).

Detaillierte Informationen zur Sicherheitslücke laut https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement#am-I-impacted :

  • Die Schwachstelle betrifft den Zugriff auf ClassLoader, so dass außer dem spezifischen Angriff, der mit einem Tomcat-spezifischen ClassLoader gemeldet wurde, auch Angriffe auf einen anderen benutzerdefinierten ClassLoader möglich sein können.
  • Das Problem bezieht sich auf die Datenbindung, die verwendet wird, um ein Objekt aus Anfrageparametern (entweder Abfrageparameter oder Formulardaten) aufzufüllen. Datenbindung wird für Controller-Methoden-Parameter verwendet, die mit @ModelAttribute oder optional ohne dieses annotiert sind bzw. ohne eine andere Spring Web Annotation.
  • Die Sicherheitslücke bezieht sich nicht auf @RequestBody Controller-Methodenparameter (z.B. JSON-Deserialisierung). Allerdings können solche Methoden immer noch anfällig sein, wenn sie einen anderen Methodenparameter haben, der über Datenbindung aus Abfrageparametern gefüllt wird.

 

Welche Compart Produkte sind betroffen?

Die folgenden Compart-Produkte verwenden Versionen des Spring-Frameworks, die für die Sicherheitslücke CVE-2022-22965 anfällig sind. Sie verwenden jedoch nicht die Annotation für Controller-Methodenparameter mit Datenbindung, die zu der Sicherheitslücke führen:

  • DocBridge® Pilot
  • DocBridge® Authentifizierung und Autorisierung
  • DocBridge® POM (Modul Postoptimierung)
  • DocBridge® Delta
  • DocBridge® Document Desktop

 

Welche Maßnahmen ergreift Compart, um das Risiko zu mindern?

Hotfixes

Trotz der Tatsache, dass die im Abschnitt "Welche Compart Produkte sind betroffen?" genannten DocBridge® Produkte die kompromittierte Annotation für die Methodenparameter des Data Binding Controllers nicht verwenden, hat Compart Hotfixes für diese betroffenen Produkte vorbereitet, die das Spring Framework auf Versionen aktualisieren, in denen die Schwachstelle entschärft wurde (5.3.18+ und 5.2.20+, wie oben angegeben).

  • Hotfixes sind ab sofort bei der Compart Support-Organisation erhältlich. Patches werden in Kürze auf my.compart.com zum Download zur Verfügung stehen.
  • Bitte beachten Sie: Fixes und Patches werden nur für unterstützte Versionen von DocBridge® Produkten bereitgestellt (z.B. Pilot 4.1.0, 4.0.4 und 3.9.10).

Was ist mit anderen Produkten wie DocBridge® Mill und DocBridge® Impress?

  • Compart-Produkte, die auf dieser Seite nicht erwähnt werden, verwenden kein Java und sind daher nicht von CVE-2022-22965 betroffen.

Was unternimmt Compart außerdem, um das von Spring4Shell ausgehende Risiko zu minimieren?

Unmittelbar nach Bekanntwerden der Sicherheitslücke wurden neben unserer eigenen Software auch alle internen IT-Systeme auf Schwachstellen überprüft, die empfohlenen Gegenmaßnahmen eingeleitet und die verfügbaren Patches installiert. Wir werden die Situation weiterhin genau beobachten und unsere Kunden zeitnah informieren, wenn neue Informationen vorliegen.

Wir beantworten gerne Ihre Fragen