Beschreibung
Die folgenden SER-Softwarekomponenten sind potentiell von Spring4shell betroffen:
- Doxis4 Storageservice
- Doxis4 mobileCube Gateway Dienst
Diese Dienste sind nur betroffen, wenn ALLE der folgenden Bedingungen erfüllt sind:
- das System wird in einem Tomcat bereitgestellt
- das System wird mit Java 11 bereitgestellt (Java 8 ist nicht betroffen)
- der für die Bereitstellung verwendete Tomcat ist älter als 8.5.78 (im Falle von Tomcat 8) oder 9.0.62 (im Falle von Tomcat 9)
Als schnelle Abhilfe empfehlen wir ein Update von Apache Tomcat auf 8.5.78 (im Falle von Tomcat 8) oder 9.0.62 (im Falle von Tomcat 9)
Bitte beachten Sie, dass es weitere Softwarekomponenten gibt, die das Spring-Framework beinhalten, aber nicht von der Schwachstelle betroffen sind.
Dennoch wird das Spring-Framework in allen Komponenten mit den nächsten Patches auf 5.3.18+ bzw. 5.2.20+ aktualisiert.
Update vom 07.04.2022:
Es wird voraussichtlich bis zum 14.04.2022 einen Patch für den Doxis4 Storageservice veröffentlicht. In diesem Patch wird das Spring Framework aktualisiert.
Es wird voraussichtlich bis zum 14.04.2022 einen Patch für den Doxis4 Storageservice veröffentlicht. In diesem Patch wird das Spring Framework aktualisiert.
Update vom 19.04.2022:
Entgegen der ersten Vermutung ist Doxis4 CMIS-Konnektor nicht betroffen!
Entgegen der ersten Vermutung ist Doxis4 CMIS-Konnektor nicht betroffen!
Mit Doxis4 CSB V4.02p1 wurde der Patch für den Storage Service released.
Für mobileCube Gatewaysteht der Hotfix 4.2p1.1 zur Verfügung.
[APA, 20.04.2022 07:52]
Weiterführende Links
Offizieller Spring-Blog: https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
Offizielle CVE: https://tanzu.vmware.com/security/cve-2022-22965
Sicherheits-Scanner: https://github.com/hillu/local-spring-vuln-scanner