Yeni tanımlanmış bir güvenlik açığı olan CVE-2025-22234, yaygın olarak kullanılan bahar güvenlik çerçevesinde kritik bir zayıflık ortaya koymuştur.
Bahar-güvenlik-kripto paketinin çeşitli versiyonlarını etkileyen HeroDevs raporuna göre, bu kusur, saldırganların giriş yanıt sürelerinde gözlemlenebilir farklılıklar yoluyla geçerli kullanıcı adlarını ayırt etmelerini mümkün kılar-“zamanlama saldırıları” olarak adlandırılan bir cadde.
Spring Security, çoğu kurumsal uygulama için bir temel taşı Java çerçevesidir, bu da kimlik doğrulama, yetkilendirme ve diğer çeşitli güvenlik önlemlerini sağlar.
.png
)
Yay ekosistemiyle sıkı bir şekilde entegre olur ve esnekliği ve sağlam yapılandırma seçenekleri ile değerlenir.
Bununla birlikte, bu en son güvenlik açığı, performans ve güvenlik arasındaki hassas dengeyi vurgulayarak bu korumaları baltalamaktadır.
CVE-2025-22234: Güvenlik açığının detayları
Temel sorun, bahar güvenlik kripto paketinde farklı bir hatayı ele almak için tasarlanmış yeni bir yamadan (CVE-2025-22228) ortaya çıkıyor.
Ne yazık ki, bu güncelleme, DaoauthenticationProvider’deki zamanlama saldırılarına karşı mevcut hafifletmeleri yanlışlıkla zayıflattı.
Özellikle, BCrypt şifre kodlayıcısını kullanırken, 72 karakterden daha uzun parolalara sahip istekler, kodlayıcının bir istisna atmasına neden olur.
Sistem davranışındaki bu fark, saldırganların kimlik doğrulama sürecinin ne kadar sürdüğünü ve sistemde bir kullanıcı adının var olup olmadığını çıkarmasını mümkün kılar.
| CVE | Ürün | Etkilenen sürümler | Sabit | Yama durumu |
| CVE-2025-22234 | Bahar güvenliği | 5.7.16, 5.8.18, 6.0.16, 6.1.14, 6.2.10, 6.3.8, 6.4.4 | Çünkü v5.7.18, v5.8.21 | Yama mevcut |
Daha önce, Bahar Güvenliği, kullanıcı adının geçerliliğine bakılmaksızın her zaman bir şifre kontrolü gerçekleştirmişti.
Bu strateji, giriş yanıt sürelerinin tutarlı olmasını sağladı, böylece saldırganların geçerli ve geçersiz kullanıcı adları arasında ayrım yapmasını engelledi.
Ancak yeni davranış, bilgiye maruz kalma riskini artıran gözlemlenebilir bir eşitsizlik yaratıyor.
Teknik etki
- Kim etkilenir: Bahar Güvenliği Sürümlerinin tüm kullanıcıları 5.7.16, 5.8.18, 6.0.16, 6.1.14, 6.2.10, 6.3.8 ve 6.4.4 BCryptPasswordEncoder ile DaoauthenticationProvider kullanılarak.
- Saldırı Senaryosu: Bir saldırgan, çeşitli kullanıcı adlarıyla giriş denemeleri gönderir ve yanıt sürelerini ölçer. Daha hızlı bir yanıt, geçersiz bir kullanıcı adını gösterirken, daha yavaş biri geçerli bir kullanıcı adını (şifre yanlış olsa bile) işaret eder, böylece kullanıcı adı numaralandırmasını kolaylaştırır.
- İyileştirme: Güvenlik açığı, V5.7.18 ve v5.8.21 sürümlerinde bitmeyen destek (NES) sürümlerinde sabitlenmiştir. Kullanıcıların hemen güncelleme yapmaları şiddetle tavsiye edilir.
Spring Security’nin en son yamalı versiyonuna yükseltmek en iyi savunma hattıdır. Geliştiriciler, kullanıcı adı geçerliliği ve şifre uzunluğuna bakılmaksızın tutarlı yanıt süreleri sağlamak için sistemleri test etmelidir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!