Information zur Java Sicherheitslücke Spring4Shell

Die WEBfactory Produkte sind von der Spring4Shell-Schwachstelle nicht betroffen.

Newsmeldung vom 5. April 2022

Übersicht: Worum geht es?

Erneute Schwachstelle: am 31.03. wurde im Java-Framework Spring eine neue kritische Sicherheitslücke CVE-2022-22965 (auch Spring4Shell genannt) mit funktionsfähigen Exploits veröffentlicht.

Diese Schwachstelle betrifft Java 9+ Anwendungen, die auf dem bekannten Spring-Framework basieren (vor allem auf Tomcat-Servern).

Auswirkungen

Ein betroffenes Produkt kann anfällig für Remote Code Execution (RCE) sein, die es Angreifern potenziell ermöglicht beliebigen Code aus der Ferne auszuführen. Alle WEBfactory-Produkte sind nachweislich nicht von der Spring4Shell Schwachstelle betroffen.

Alle Versionen der folgenden Produkte sind nicht angreifbar:

  • WEBfactory 2006
  • WEBfactory 2010
  • i4SCADA
  • i4BACnet
  • i4connected
  • i4HMI
  • i4designer

Die wichtigste Empfehlung für alle, die das Spring-Framework verwenden, ist ein Upgrade auf die sicheren Versionen 5.3.18 oder 5.2.20.

Mehr Informationen finden Sie in diesem Blogbeitrag von Spring: