НКЦКИ предупреждает об уязвимости «нулевого дня» в Spring Framework

НКЦКИ предупреждает об уязвимости «нулевого дня» в Spring Framework

НКЦКИ предупреждает об уязвимости «нулевого дня» в Spring Framework

По каналам Национального координационного центра по компьютерным инцидентам (НКЦКИ) получены сведения о наличии уязвимости «нулевого дня» во фреймворке для разработки Java-приложений - Spring Framework. В открытом доступе присутствуют средства эксплуатации данной уязвимости.

Обнаруженная уязвимость носит название Spring4Shell, но индентификатор CVE ей ещё не присвоен. Указанное название она получила по аналогии с наименованием уязвимости Log4Shell в виду схожести механизма внедрения исполняемого кода. Удаленный злоумышленник посредством отправки специально сформированных запросов может получить доступ к объекту AccessLogValve, отвечающему за создание журнала доступа к веб-серверу, переопределить параметры логирования и в последующем направить вредоносный запрос на создание JSP-файла, представляющего из себя удаленный исполняемый файл.

Для эксплуатации уязвимости необходимо два условия: использование фреймворка Spring MVC framework и комплекта разработчика Java Development Kit (JDK) версии 9.0 и выше.

Рекомендации по нейтрализации угрозы приведены в бюллетене НКЦКИ.

Скачать бюллетень НКЦКИ в формате PDF: