Bilgi maruziyeti (CVE-2025-22234) ile ilgili ciddi bir güvenlik açığı, bahar güvenlik kripto paketinin çeşitli versiyonlarını etkiler.
Kusur, saldırganların zamanlama saldırıları yoluyla geçerli kullanıcı adlarını belirlemelerini sağlar ve kullanıcı numaralandırmasını önlemek için tasarlanmış bir temel güvenlik özelliğini baltalar.
Güvenlik açığı, Bahar Güvenliği sürümlerini etkiler. 5.7.16, 5.8.18, 6.0.16, 6.1.14, 6.2.10, 6.3.8 ve 6.4.4. Yamalar artık Herodevs’in hiç bitmeyen destek (NES) sürümü aracılığıyla kullanılabilir.
.png
)
Kurumsal uygulamalarda yaygın olarak kullanılan kapsamlı bir Java güvenlik çerçevesi olan Spring Security, bir kullanıcı adının var olup olmadığına bakılmaksızın şifre kontrolleri gerçekleştirerek zamanlama saldırısı azaltma uygular.
Bahar Güvenliği Zamanlama Saldırısı kullanıcı adlarını ortaya çıkarır
Bu, saldırganların giriş denemeleri sırasında yanıt sürelerini ölçerek geçerli kullanıcı adlarını belirlemesini önler.
Cybersafe Analytics kıdemli güvenlik araştırmacısı Adrian Chapman, “İronik, bu güvenlik açığının başka bir güvenlik sorunu çözüldüğünde tanıtılması” dedi.
“CVE-2025-22228 için yama yanlışlıkla DaoauthenticationProvider’da uygulanan zamanlama saldırısı hafifletmesini kırdı.”
Teknik kök nedeni, uzun parolalarla kodlayan bcrypt şifre içerir. Parola kodlayıcı BCrypt olarak ayarlandığında ve 72 karakteri aşan bir şifre gönderildiğinde, kodlayıcı şimdi önceki davranışı izlemek yerine bir istisna atar. Bu değişiklik, saldırganların yanıt sürelerindeki farklılıkları ölçmesini sağlar.
Yanıt sürelerinin dikkatli bir şekilde ölçülmesi yoluyla, saldırganlar sistemde hangi kullanıcı adlarının bulunduğunu belirleyebilir.
Geçerli kullanıcı adları, meşru şifre kontrolleri nedeniyle genellikle daha uzun işlem süreleri ile sonuçlanırken, geçersiz kullanıcı adları daha hızlı yanıtlar verir.
Geçerli kullanıcı adları belirlendikten sonra, saldırganlar şifre tahminlerini veya sosyal mühendislik çabalarını bilinen hesaplara odaklayabilirler.
Orta şiddet olarak derecelendirilen güvenlik açığı, SAP’den Jonas Robl tarafından keşfedildi ve 22 Nisan 2025’te yayınlandı.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Bahar Güvenliği: 5.7.16, 5.8.18, 6.0.16, 6.1.14, 6.2.10, 6.3.8, 6.4.4 |
| Darbe | Bilgi maruziyeti |
| Önkoşuldan istismar | Saldırgan kimlik doğrulama istekleri gönderebilmeli ve yanıt sürelerini ölçebilmelidir; Uygulama, BCryptPasswordEnkoder ve DaoauthenticationProvider ile etkilenen Spring Security sürümünü kullanmalıdır |
| CVSS 3.1 puanı | 6.5 (Orta) |
Azaltma adımları
Etkilenen Bahar Güvenliği sürümlerini kullanan kuruluşlar derhal aşağıdaki hafifletmelerden birini uygulamalıdır:
- Düzeltmeyi içeren Bahar Güvenliği’nin desteklenen sürümlerine yükseltin.
- EOL sonrası güvenlik desteği için HeroDevs aracılığıyla ticari desteği kullanın.
Güvenlik açığı, kullanıcı adı geçerliliğine bakılmaksızın tutarlı zamanlamayı sağlayan önceki davranışa geri dönerek ele alınmıştır.
Düzeltme, NES için V5.7.18 ve v5.8.21 için mevcuttur ve kimlik doğrulama güvenlik bütünlüğünü koruyan kritik zamanlama saldırısı hafifletmesini yeniden oluşturur.
Güvenlik peyzajı değiştikçe, uyanıklığın korunması ve CVE-2025-22234 gibi güvenlik açıklarının derhal ele alınması, hassas kullanıcı bilgilerinin korunması ve kurumsal uygulamalara olan güveni korumak için çok önemlidir.
SOC ve DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.