Spring4Shell Exploit

,
Cyber Security Middle Banner Delta Controls Germany

Am 29.03.2022 wurde bekannt gegeben, dass es eine neue potentielle Sicherheitslücke in den von uns verwendeten Frameworks gibt.

Hierzu folgende Hinweise:

https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

Das betroffene Framework wird in den folgenden Services verwendet:

  • enteliSAVE
  • TrendlogManager
  • DeviceMonitor
  • DPCounter

Nach aktuellen Informationen der Entwickler des Spring Core Frameworks sind die aufgeführten Produkte auf Grund der Installationskonfiguration durch CVE-2022-22965 nicht angreifbar

Ein Patch für die betroffenen Module wird kurzfristig zur Verfügung gestellt.

Historie:

11. Mai 2022:    DCGSEC-1     Updates für enteliSAVE, enteliWEB Module DeviceMonitor und enteliSAVE wurden zu Verfügung gestellt. Diese beinhalten alle notwendigen Fixes für die Exploits Spring4Shell und Log4Shell

01. April 2022:    DCGSEC-1      enteliSAVE, enteliWEB Module TrendlogManager, DeviceMonitor, DPCounter  Nach aktuellen Informationen der Entwickler des Spring Core Frameworks sind die aufgeführten Produkte auf Grund der Installationskonfiguration durch CVE-2022-22965 nicht angreifbar. Trotzdem werden wir in den nächsten Tagen neue Versionen unserer Produkte releasen in denen wir eine gepatchte Spring Core Version verwenden werden.

31. März 2022:   DCGSEC-1     enteliSAVE, enteliWEB Module TrendlogManager, DeviceMonitor, DPCounter  Es liegen Informationen über eine Schwachstelle in der von den aufgeführten Produkten verwendeten Java Bibliothek „Spring Core“ vor. Es ist noch kein Patch verfügbar. Wir prüfen die weitere Entwicklung und informieren Sie an dieser Stelle, sobald uns neue Informationen vorliegen.