Spring Data MongoDB, başka bir kritik SpEL enjeksiyon hatasına çarptı


Adam Bannister

05 Temmuz 2022, 15:50 UTC

Güncelleme: 07 Temmuz 2022, 13:17 UTC

Hata, ‘SpringShell’ sorunuyla birlikte ortaya çıkan son SpEL enjeksiyon güvenlik açığını yansıtıyor

Spring Data MongoDB, başka bir kritik SpEL enjeksiyon hatasına çarptı

GÜNCELLENMİŞ MongoDB için nesne-belge desteği ve depolar sağlayan Spring Data MongoDB’de, kötüye kullanımı uzaktan kod yürütmeye (RCE) yol açan kritik bir SpEL enjeksiyon güvenlik açığı düzeltildi.

Kusurun başarılı bir şekilde kullanılması (CVE-2022-22980), Trellix Threat Labs kıdemli güvenlik araştırmacısı Sam Quinn, “bir saldırganın Spring MongoDB süreci tarafından devralınan ayrıcalıklarla rastgele kod çalıştırmasına izin verecek” dedi. Günlük Swig.

First.org, kusuru son 30 gün içinde vahşi ortamda kullanılması muhtemel en iyi 10 CVE arasında sıraladı, Quinn’i ve kullanım kolaylığını ve kullanıcı sayısını ekledi. kavram kanıtlarından yararlanmak mevcut olması onu “bu güvenlik açığının popülaritesinin artmaya devam edeceğinden şüphelenmesine” yol açıyor.

heceleyerek

Yay Verileri MongoDBVMWare’in Spring projesinin bir parçası olan , 26.800’den fazla müşterisi olan belge odaklı bir NoSQL veritabanı platformu olan MongoDB ile entegre oluyor.

İLİŞKİLİ Enfilade: Açık kaynak aracı, MongoDB örneklerinde fidye yazılımlarını ve bot enfeksiyonlarını işaretler

SpEL – veya Bahar İfade Dili – çalışma zamanında nesne grafiklerinin sorgulanmasını ve manipüle edilmesini destekler.

A güvenlik danışmanlığı VMware tarafından yayınlanan şunları okur: “Bir Spring Data MongoDB uygulaması, giriş sterilize edilmemişse değer bağlama için sorgu parametresi yer tutucuları içeren SpEL ifadeleriyle @Query veya @Aggregation açıklamalı sorgu yöntemlerini kullanırken SpEL Injection’a karşı savunmasızdır.”

Said Quinn: “Sunucunun kullanıcı girişi sanitasyonu olmadan yapılandırıldığı göz önüne alındığında, saldırganın kod yürütme elde etmek için veritabanı arama alanına kötü niyetli bir SpEL ifadesi girmesi yeterlidir.”

Depo, SpEL kullanımını sınırlayan bir kullanmak üzere yapılandırılmışsa, uygulama görünüşte savunmasız değildir.

Güncellemeler, azaltmalar

Bu güvenlik açığı, sorunu 13 Haziran 2022’de bildiren NSFOCUS TIANJI Lab’den Zewei Zhang tarafından keşfedildi. Spring, yalnızca yedi gün sonra, 20 Haziran’da Spring Data MongoDB 3.4.1 ve 3.3.5’in yamalı sürümlerini yayınladı.

Kusur, 3.4.0, 3.3.0 ila 3.3.4 sürümlerini ve ayrıca daha eski, desteklenmeyen sürümleri etkiler.

En son Java güvenlik haberlerinin devamını okuyun

Geliştiriciler, uygulamayı güncellemek yerine, ifade içinde parametre referanslarını kullanmak için sorgu veya toplama bildirimlerini yeniden yazarak (örneğin, ” yerine ” kullanarak) kendilerini koruyabilirler.

Diğer azaltma adımları, sorgu yöntemini çağırmadan önce parametreleri temizlemeyi ve sınırlı bir .

Trellix Threat Labs, güvenlik açığını daha ayrıntılı olarak inceledi. en son, Haziran Hata Raporu.

Miss-SpEL

Bahar projesi, başka bir kritik SpEL enjeksiyon güvenlik açığını yalnızca Mart ayında ele aldı. Spring Cloud bilgi işlem çerçevesini etkileyen uzaktan kod yürütme (RCE) hatası.

Birkaç gün içinde Spring Framework’ün Java tabanlı Core modülünde daha da tehlikeli bir RCE hatası ortaya çıktı. ‘Spring4Shell’ olarak adlandırıldıbu sorun, 2010’da yamalanan eski bir hatanın atlanmasından kaynaklandı.

Günler sonra Microsoft ve CISA uyarı Tehdit aktörlerinin kusuru bir vektör olarak kullandığı ortaya çıkmadan önce, vahşi doğada ‘Spring4Shell’ sömürüsünün Mirai botnetinin yayılması.

Spring4Shell güvenlik açığı, “Java geliştiricilerinin %60’ı uygulamalar için Spring’e güveniyor,” dedi, ancak “MongoDB’nin eklenmesi, en son güvenlik açığıyla birlikte tehdit yüzeyinin genel hacmini önemli ölçüde azaltmalıdır” dedi. “Ayrıca, haftalardır VMWare’den yamalar mevcut ve birçok kuruluş muhtemelen düzeltmeleri zaten uygulamış durumda.”

Bu makale, 6 Temmuz’da Trellix Threat Labs’tan Sam Quinn’in yorumuyla güncellendi.

BUNU DA BEĞENEBİLİRSİN Gitlab, en son güvenlik sürümünde kritik RCE hatasını düzeltir



Source link