Bakımcılar, açık kaynak web uygulaması çerçevesinin tüm sürümlerine yama yapmaları konusunda uyarıyor – savunmasız sayılmayanlar bile
AntGroup FG Security Lab’den araştırmacılar, bir saldırganın bir Grails uygulama çalışma zamanı içinde uzaktan kod yürütmesine olanak tanıyan kritik bir güvenlik açığı keşfetti.
Grails, Apache Groovy programlama diline dayalı açık kaynaklı bir web uygulaması çerçevesidir ve çevik web uygulamaları geliştirmek için kullanılır. Müşteriler arasında Google, IBM, Walmart, Credit Suisse ve Mastercard bulunmaktadır.
CVE-2022-35912 kullanılarak izlenen kusur, saldırganın sınıf yükleyiciye erişim izni veren özel hazırlanmış bir web isteği yayınlayarak bir Grails uygulama çalışma zamanı içinde uzaktan kod yürütmesine olanak tanır.
Web güvenlik açıklarıyla ilgili en son haberleri okuyun
Saldırı, komut nesneleri oluşturma, etki alanı sınıfı oluşturma ve bindData kullanılırken manuel veri bağlama dahil olmak üzere çeşitli şekillerde çağrılan Grails veri bağlama mantığının bir bölümünden yararlanır.
Güvenlik açığı, Java 8 üzerinde çalışan Grails çerçevesi 4 ve 5 dahil olmak üzere 3.3.10 ve üzeri Grails çerçeve sürümlerinde onaylanmıştır. Hem yerleşik Tomcat çalışma zamanında hem de Web Arşivi (WAR) olarak dağıtılan uygulamalarda gözlemlenmiştir. bir Tomcat örneği.
Grails ekibi bir blog yazısında, “Bu güvenlik açığının doğası gereği, bu özel saldırıya karşı savunmasız olmayanlar da dahil olmak üzere tüm Grails uygulamalarının yamalı bir Grails sürümüne güncellenmesini şiddetle öneriyoruz” dedi.
“Bu özel istismarı Java 11’de veya Grails çerçevesinin 3.3.10’dan önceki sürümlerinde çalışan uygulamalarda yeniden oluşturamadık, ancak güvenlik açığının doğası, saldırıdaki varyasyonların daha önceki Grails sürümlerinin keşfedilebileceği şekilde, ve Java’nın daha yüksek sürümlerinde çalışan Grails uygulamaları etkilenecektir.”
Mevcut yamalar
5.2.1, 5.1.9, 4.1.1 ve 3.3.15 sürümlerine artık yama uygulandı ve ekip, yama uygulanmış bir sürüme yükseltme yapılmasını tavsiye ediyor. Grails 4.x uygulamaları 4.1.1 veya üzeri sürümlere yükseltilebilir, Grails 5.0.x ve 5.1.x uygulamaları 5.1.9 veya üzeri sürümlere yükseltilebilir ve Grails 5.2 uygulamaları 5.2.1 veya üzeri sürümlere yükseltilebilir.
Ekip, “Grails Foundation ve Grails çekirdek geliştirme ekibi uygulama güvenliğini çok ciddiye alıyor” diye yazdı. “Bu güvenlik açığını araştırmaya ve izlemeye devam ediyoruz.”
ŞUNLAR DA HOŞUNUZA GİDEBİLİR Cisco, Nexus Dashboard’da tehlikeli hata üçlüsünü yamalar