Spring4Shell und zlib deflate

[Robert Penz]

Hi!

vielleicht haben ja ein paar von euch Java Sachen laufen die auf Spring
aufsetzen:

https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/

On March 30, 2022, rumors began to circulate about an unpatched remote
code execution (RCE) vulnerability in Spring Framework when a
Chinese-speaking researcher
(https://webcache.googleusercontent.com/search?q=cache:fMlVaoPj2YsJ:https://github.com/helloexp+&cd=1&hl=en&ct=clnk&gl=us)
published a GitHub commit that contained proof-of-concept (PoC)
(https://github.com/helloexp/0day/tree/14757a536fcedc8f4436fed6efb4e0846fc11784/22-Spring%20Core)
exploit code.

March 30, 2022 - 9PM EDT
The situation continues to evolve but Spring.IO has yet to confirm the
vulnerability. That said, we are actively testing exploit techniques and
combinations. In the interim for organizations that have large
deployments of the core Spring Framework or are in use for business
critical applications we have validated the following two mitigations.
Rapid7 Labs has not yet seen evidence of exploitation in the wild.

WAF Rules
Referenced previously and reported elsewhere for organizations that have
WAF technology, string filters offer an effective deterrent, "class.",
"Class.", ".class.", and ".Class.". These should be tested prior to
production deployment but are effective mitigation techniques.

und wenn euch das nicht betrifft, dann schaut mal wo eine Anwendung zlib
deflate einsetzt - bekannt wohl seit 2018, nur es wurde nie ein Fix
released CVE-2018-25032 und das Problem bei zlib ist dass viele das fix
in ihre Anwendung einbauen (z.B. Chrome und Firefox machen es, und
liefern auch die deflate selber mit). Spannend ist dazu
https://www.openwall.com/lists/oss-security/2022/03/28/1 - das erweitert
den Angriff, für mich klingt dass doch erheblich böser - aber jetzt
nicht der Experte da - was für Richard hätte ich gesagt, Richtig
lowlevel :-)


sg,

Robert

[Richard Weinberger]

RobertPenz schrieb am Donnerstag, 31. März 2022 um 10:32:32 UTC+2:

und wenn euch das nicht betrifft, dann schaut mal wo eine Anwendung zlib
deflate einsetzt - bekannt wohl seit 2018, nur es wurde nie ein Fix
released CVE-2018-25032 und das Problem bei zlib ist dass viele das fix
in ihre Anwendung einbauen (z.B. Chrome und Firefox machen es, und
liefern auch die deflate selber mit). Spannend ist dazu
https://www.openwall.com/lists/oss-security/2022/03/28/1 - das erweitert
den Angriff, für mich klingt dass doch erheblich böser - aber jetzt
nicht der Experte da - was für Richard hätte ich gesagt, Richtig
lowlevel :-)

Ja, das mit der zlib kann noch spannend werden.

Ich fürchte da kommt noch mehr.

Wer fade hat kann inzwischen mal suchen welche Anwendungen memlimit=1 verwenden:
https://codesearch.debian.net/search?q=deflateInit2

LG,

//richard