vulnerabilité java spring
9 views
Skip to first unread message
Alain Benard
Apr 6, 2022, 2:51:21 AM4/6/22
to georchestra-dev
Bonjour, notre dsi publie un article sur notre intranet dont voici un extrait :
Vulnérabilité critique SpringShell
Une vulnérabilité critique a été publiée sur le framework Java Spring
Article pour un lectorat d'informaticiens
ContexteLe 30 mars dernier une vulnérabilité 0day (donc sans patch disponible) a été rendue publique sur le framework Java Spring.
Celle-ci permet l'exécution de code arbitraire à distance et donc la prise de contrôle du serveur par l'attaquant (avec le compte utilisé pour exécuté l'application).
Les versions affectées sont les branches 5.2.x et 5.3.x du framework (encore supportées), mais aussi des versions antérieures hors support.
Est-ce que Georchestra est concerné ou pas?
Merci par avance de la réponse des spécialistes.
Alain.
François Van Der Biest
Apr 6, 2022, 3:24:13 AM4/6/22
to georchestra-dev
Bonjour Alain,
En effet, nous avons également été alertés de la même manière.
D'après mes collègues, la faille pourrait en effet être exploitée dans les conditions geOrchestra + tomcat + java 11.
F.
--
--
projet: http://www.georchestra.org/
---
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes "georchestra-dev".
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse georchestra-d...@googlegroups.com.
Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/georchestra-dev/7afc6165-1ee7-4abc-a881-671548f13b18n%40googlegroups.com.
Pierre Mauduit
Apr 6, 2022, 4:12:33 AM4/6/22
to georche...@googlegroups.com
Hello,
> En effet, nous avons également été alertés de la même manière.
> D'après mes collègues, la faille pourrait en effet être exploitée dans les
> conditions geOrchestra + tomcat + java 11.
D'après [1] et [2], les conditions d'exploitation de la faille en question
semblent assez spécifiques:
* Utilisation de Java > 9, et
* Utilisation de tomcat
Le support de Java > 8 dans geOrchestra étant très récent (sortie de la 22 il y
a quelques jours), et un certain nombre de configurations partant sur un autre
servlet container (Jetty dans les images docker), il est assez peu probable de
réunir les deux conditions, ce qui ne nous dispensera toutefois pas de mettre à
jour les versions de spring dans geOrchestra.
En ce qui concerne tomcat plus spécifiquement, une nouvelle version est
également disponible qui permet de se protéger vis à vis de cette faille[3], mais
celle-ci n'est visiblement pas encore arrivée dans les paquets debian officiels.
[1] https://spring.io/blog/2022/04/01/spring-framework-rce-mitigation-alternative
[2] https://tanzu.vmware.com/security/cve-2022-22965
[3] https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.62_(remm)
-- Pierre
> En effet, nous avons également été alertés de la même manière.
> D'après mes collègues, la faille pourrait en effet être exploitée dans les
> conditions geOrchestra + tomcat + java 11.
semblent assez spécifiques:
* Utilisation de Java > 9, et
* Utilisation de tomcat
Le support de Java > 8 dans geOrchestra étant très récent (sortie de la 22 il y
a quelques jours), et un certain nombre de configurations partant sur un autre
servlet container (Jetty dans les images docker), il est assez peu probable de
réunir les deux conditions, ce qui ne nous dispensera toutefois pas de mettre à
jour les versions de spring dans geOrchestra.
En ce qui concerne tomcat plus spécifiquement, une nouvelle version est
également disponible qui permet de se protéger vis à vis de cette faille[3], mais
celle-ci n'est visiblement pas encore arrivée dans les paquets debian officiels.
[1] https://spring.io/blog/2022/04/01/spring-framework-rce-mitigation-alternative
[2] https://tanzu.vmware.com/security/cve-2022-22965
[3] https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.62_(remm)
-- Pierre
Reply all
Reply to author
Forward
0 new messages