CERT-FI haavoittuvuustiedote 094/2008

17.7.2008

Haavoittuvuuksia Spring Framework -sovelluskehyksessä

Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- käyttövaltuuksien laajentaminen - tietojen muokkaaminen - luottamuksellisen tiedon hankkiminen - suojauksen ohittaminen	Lisätietoja
Ratkaisu:	- ongelman rajoittaminen	Lisätietoja

Spring Framework on laajasti käytössä oleva sovelluskehys Java/J2EE -sovelluksille. Kehyksen MVC (Model View Controller) -toteutuksen suunnittelusta on löydetty kaksi haavoittuvuutta, joiden avulla käyttäjän syöte voi muokata ei-haluttuja kenttiä tai ohjelman toimintalogiikkaa.

Haavoittuvuuksia hyväksikäyttämällä hyökkääjän voi olla mahdollista saada sovelluskehyksellä toteutettu sovellus hallintaansa ja päästä käsiksi muun muassa sovelluksen käsittelemiin tietoihin ja käyttövaltuuksiin.

HAAVOITTUVAT OHJELMISTOT:

• Spring Framework 2.5.5 ja sitä aiemmat versiot

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Haavoittuvuudet tulee huomioida Spring MVC:tä käyttävien sovellusten suunnittelu- ja testausvaiheessa. Uusimman kehysversion mukana tulee testiohjelma, jonka avulla sovelluksen haavoittuvuuden voi selvittää.

Ounce Labsin tiedotteen kautta pääsee käsiksi dokumenttiin, jossa kuvataan haavoittuvuuksia ja niiden ratkaisu- ja rajoitusmahdollisuuksia laajemmin:

http://www.ouncelabs.com/pdf/Ounce_SpringFramework_Vulnerabilities.pdf

LISÄTIETOA:

• http://www.ouncelabs.com/security_advisories/security-vulnerabilities-spring-framework.asp
• http://www.ouncelabs.com/abstracts/security-vulnerabilities-spring-framework.asp
• http://www.ouncelabs.com/pdf/Ounce_SpringFramework_Vulnerabilities.pdf

PÄIVITYSHISTORIA:

17.7.2008, kello 13.05: Julkaistu

Sivua päivitetty 17.07.2008

Tulostusversio