Java əsaslı tətbiqlərin hazırlanmasına geniş istifadə edilən açıq mənbə kodlu “Spring Framework” platformasında kritik təhlükəsizlik boşluğu aşkar edilib. “Spring4Shell” olaraq adlandırılan bu təhlükəsizlik boşluğunun aradan qaldırılması üçün “Spring” tərəfindən yeniləmələr təqdim edilib.

Təsviri: CVSS şkalasında 9.8 xal (kritik) ilə qiymətləndirilən “RCE” sinfinə aid bu boşluq Spring ilə yazılmış Java tətbiqlərində autentifikasiya prosesindən keçmədən uzaqdan ixtiyari (zərərli) kodu icra etməyə imkan yaradır.
İstismarı sadə olduğundan və bununla bağlı texniki detallar artıq internetdə yayıldığından boşluqdan geniş miqyasda istifadə olunması qaçınılmazdır.

Təsir görən sistemlər:  “Java Development Kit” 9 və ya yuxarı versiyalarda işləyən, xüsusilə servlet konteyner kimi Apache Tomcat istifadə edən, “Spring MVC” və “Spring WebFlux” tətbiqləri təhlükə altındadır.

Həlli: “Spring Framework” 5.3.18 və ya 5.2.20 versiyalarına yenilənməlidir.

“Apache Software Foundation” tərəfindən təqdim edilən “Apache Tomcat” 10.0.20, 9.0.62 və ya 8.5.78 versiyalarına yeniləmə "Tomcat" ilə bağlı boşluğu aradan qaldırır.

Bundan əlavə, hər hansı səbəbdən bu yeniləmələri tətbiq edə bilməyənlər hücumun qarşısını almaq üçün “Spring” tərəfindən aşağıdakı keçiddə təqdim edilən tədbirləri həyata keçirə bilər: https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement#overview