Artikelverzeichnis
0. Vorwort
Hintergrund: Das Unternehmensprojekt hat die Sicherheitslücke CVE-2023-20873 zur Umgehung von Sicherheitslücken mithilfe eines Wildcard-Mustervergleichs auf Spring Cloud Foundry gescannt
CVE-2023-20873: Sicherheitsumgehung durch Wildcard-Mustervergleich bei Cloud Foundry
Hohes Risiko | 18. Mai 2023 | CVE-2023-20873
In den Spring Boot-Versionen 3.0.0 – 3.0.5, 2.7.0 – 2.7.10, 2.6.0 – 2.6.14, 2.5.0 – 2.5.14 und älteren unterstützten Versionen ist es möglich, Anwendungen problemlos auf Cloud Foundry bereitzustellen unterliegt einer Sicherheitsumgehung.
1. Referenzdokumente
Offizielle CVE-Website https://www.cve.org/CVERecord?id=CVE-2023-20873
2. Grundlegende Einführung
CVE-2023-20873: Sicherheitsumgehung mithilfe von Wildcard-Pattern-Matching bei Cloud Foundry
High Risk | 18. Mai 2023 | CVE-2023-20873
beschreiben
In den Spring Boot-Versionen 3.0.0 – 3.0.5, 2.7.0 – 2.7.10, 2.6.0 – 2.6.14, 2.5.0 – 2.5.14 und älteren unterstützten Versionen ist es möglich, Anwendungen problemlos auf Cloud Foundry bereitzustellen unterliegt einer Sicherheitsumgehung.
Eine Anwendung ist insbesondere dann anfällig, wenn alle folgenden Bedingungen erfüllt sind:
Sie verfügen über Code, der Anfragen verarbeitet, die /cloudfoundryapplication/** entsprechen. Dies ist in der Regel der Fall, wenn eine globale Anforderungszuordnung vorhanden ist, die mit /** übereinstimmt.
Die Anwendung wird auf Cloud Foundry bereitgestellt. Hinweis:
Anwendungen, die Spring Cloud Config Server verwenden, können standardmäßig Anfragen an /cloudfoundryapplication/** verarbeiten und
sind möglicherweise anfällig, wenn sie auf Cloud Foundry bereitgestellt werden.
Eine Bewerbung ist nicht zu riskant, wenn eine der folgenden Bedingungen zutrifft:
Die Anwendung ist nicht auf Cloud Foundry bereitgestellt.
Sie haben den Cloud Foundry-Aktor-Endpunkt deaktiviert, indem Sie „management.cloudfoundry.enabled“ auf „false“ gesetzt haben.
Ihre Anwendung verfügt nicht über eine Handlerzuordnung, die Anfragen an /cloudfoundryapplication/** verarbeiten kann.
Betroffene Spring-Produkte und -Versionen
Frühlingsstiefel
3.0.0 bis 3.0.5
2.7.0 bis 2.7.10
2.6.0 bis 2.6.14
2.5.0 bis 2.5.14
Betroffen sind auch ältere und nicht mehr unterstützte Versionen
3. Lösungen
3.1. Upgrade-Version
Benutzer betroffener Versionen sollten die folgenden Maßnahmen ergreifen:
3.0.x
Benutzer sollten auf aktualisieren 3.0.6+
. 2.7.x
Benutzer sollten auf aktualisieren 2.7.11+
. 2.6.x
Benutzer sollten auf aktualisieren 2.6.15+
. 2.5.x
Benutzer sollten auf aktualisieren 2.5.15+
. Benutzer älterer und nicht mehr unterstützter Versionen sollten auf 3.0.6+
oder aktualisieren 2.7.11+
.
3.2. Alternativen
== Deaktivieren Sie den Actor-Endpunkt von Cloud Foundry, indem Sie „management.cloudfoundry.enabled“ auf „false“ setzen. ==