Spring4Shell

SIZ-Information zu der Spring4Shell-Schwachstelle

Liebe Kundinnen, liebe Kunden,

wir möchten Sie gerne darüber informieren, welche Konsequenzen die Spring4Shell-Schwachstelle für den IT-Betrieb in der SIZ und für die SIZ-Produkte SITB, SIDS, SIMON Plus, Management Cockpit (MC), RiMaGo, Compliance-Suite, IDV-Suite, IKS-Miner und die TRAVIC-Produkte hat.

Nähere Informationen zu der Schwachstelle finden Sie in der S-CERT-Meldung S-CERT-2022-0641 und der Alarmierung S-CERT-M911244 zur CVE-2022-22965.

Informationen zum SIZ-IT-Betrieb

Direkt nach Bekanntwerden der Schwachstelle im VMware Tanzu Spring-Framework der Versionen < 5.2.20 und <5.3.18 haben wir in der SIZ risikoorientiert Sofort- und Folgemaßnahmen ergriffen:

  1. Es wurde eruiert, in welchen Anwendungen das Spring-Framework in einer Version mit der aktuellen Schwachstelle eingesetzt wird und ob das jeweilige Einsatzszenario eine Ausnutzung der Schwachstelle zulässt.
  2. Sofern nicht ohnehin schon öffentlich verfügbar, wurden entsprechende Stellungnahmen von den jeweiligen Anbietern und Dienstleistern eingefordert.
  3. Bei zum Internet exponierten Diensten konnten keine signifikanten Risiken identifiziert werden, sei es, weil das Spring-Framework gar nicht oder nicht in einer Version mit der Schwachstelle eingesetzt wurde oder weil die Konfiguration eine Ausnutzung nicht zuließ. Sofern temporär noch Zweifel an dieser Einschätzung vorlagen, wurden Maßnahmen zur Eindämmung ergriffen (Deaktivieren von betroffenen Dienstkomponenten, netzseitig eingeschränkter Zugriff).
  4. Wo Updates für das Spring-Framework vom jeweiligen Hersteller bereitgestellt wurden, wurden und werden diese zeitnah eingespielt.
  5. Die Update-Kanäle der betroffenen Anwendungen werden speziell im Hinblick auf Spring-Framework relevante Patches überwacht.
  6. Es wurden keinerlei Hinweise für eine Kompromittierung von – internen oder externen – Diensten oder Systemen der SIZ aufgrund der Spring4Shell-Schwachstelle gefunden.
  7. Der SIZ-IT-Betrieb lief jederzeit wie gewohnt.

Selbstverständlich werden wir unsere internen Maßnahmen fortsetzen und auch das externe Geschehen weiterverfolgen. Bei relevanten Änderungen werden wir Sie entsprechend informieren.


Informationen zu den SIZ-Produkten bzw. Produkten, die die SIZ in Kooperation mit dem Hersteller vertreibt / zu diesen berät


Direkt nach Bekanntwerden der Sicherheitslücke im VMware Tanzu Spring-Framework der Versionen < 5.2.20 und < 5.3.18 haben wir die Auswirkungen auf unsere Produkte analysiert und sind zu den folgenden Ergebnissen gekommen:

Compliance-Suite

Die netgo GmbH als Entwickler und Hosting-Partner der SIZ für die SIZ Compliance-Suite hat die Software intensiv analysiert und verfolgt zudem die Rückmeldungen des Hostingbetreibers q.beyond AG engmaschig. Auf dieser Grundlage hat die netgo GmbH bestätigt, dass die SIZ Compliance-Suite sowohl anwendungsseitig nicht von der Spring4Shell-Schwachstelle betroffen ist als auch hinsichtlich der Hostingumgebung kein Risiko durch die genannte Schwachstelle identifiziert wurde.

IDV-Suite

Der Hersteller der IDV-Suite hat die IDV-Suite im Hinblick auf die Spring4Shell-Schwachstelle analysiert und bestätigt, dass diese von der Sicherheitslücke nicht betroffen ist, da das Spring-Framework dort nicht eingesetzt wird.

IKS-Miner

Der Hersteller des IKS-Miner hat den IKS-Miner im Hinblick auf die Spring4Shell-Schwachstelle analysiert und bestätigt, dass dieser von der Sicherheitslücke nicht betroffen ist, da das Spring-Framework dort nicht eingesetzt wird.

SIMON Plus, Management Cockpit (MC) und RiMaGo

SIMON Plus, Management Cockpit und RiMaGo Desktop basieren nicht auf Java-Technologien. Das Spring-Framework wird dort nicht eingesetzt. RiMaGo Web wird in Teilen mit Java-Technologien umgesetzt. Das Spring-Framework wird dort ebenfalls nicht eingesetzt. Somit sind die genannten Produkte nicht von der Spring4Shell-Schwachstelle betroffen.

SITB/SIDS V19.x und V20

Der SITB-Werkzeugkasten verwendet das Spring-Framework nicht. Das Erhebungsmodul im SITB/SIDS verwendet Spring Boot Release 2.1.6 als jar-Datei ohne spring-webmvc oder spring-webflux Abhängigkeiten. Damit sind die Voraussetzungen zur Ausnutzung der Spring4Shell-Schwachstelle nicht gegeben.
Sollte sich die Bedrohungslage verschärfen, werden wir einen Patch zur aktuellen Version 20 zur Verfügung stellen.

TRAVIC-Produkte

Die Kolleginnen und Kollegen der PPI AG haben die TRAVIC-Produkte eingehend auf die Spring4Shell-Schwachstelle analysiert und bestätigt, dass diese von der Sicherheitslücke nicht betroffen sind.

Die Kolleginnen und Kollegen der PPI AG beobachten die Informationen zu der Schwachstelle weiter und informieren, sofern die Situation sich ändern sollte.

Freundlich grüßt Sie
SIZ GmbH

Jens Bartelt                           
SIZ-Geschäftsführer