ACTICO reagiert aktiv auf die gemeldete „Remote Code Execution“ Schwachstelle im Spring Framework.
Die Sicherheitslücke wird geführt unter der Nummer CVE-2022-22965 und wird auch als „Spring4Shell“ bzw. „SpringShell“ bezeichnet.
Es existiert eine bekannte Methode zur Ausnutzung der Sicherheitslücke („Exploit“). Eine Anwendung ist betroffen von diesem Exploit, wenn alle der folgenden Bedingungen erfüllt sind:
- läuft auf Java 9 oder höher
- läuft innerhalb von Apache Tomcat
- bereitgestellt als WAR Datei in Tomcat
- verwendet das Spring Framework, insb. spring-webmvc oder spring-webflux
Für die Ausnutzung der Sicherheitslücke ist Netzwerkzugriff zum Server erforderlich.
Es existieren die folgenden Spring Framework Patches, die die Sicherheitslücke schließen:
- Spring Framework 5.3.18 or 5.2.20
Es existieren Patches für Tomcat, die eine Ausnutzung der Sicherheitslücke verhindern:
- Tomcat 8.5.78
- Tomcat 9.0.62
- Tomcat 10.0.20
Wir untersuchen und ergreifen Maßnahmen für ACTICO als Unternehmen, unsere Produkte und Dienste, die möglicherweise betroffen sind, und werden laufend Informationen veröffentlichen, um Kunden dabei zu helfen, Angriffe auf ihre ACTICO-Produkte und -Dienste zu erkennen, zu untersuchen und zu entschärfen, falls sie auftreten.
ACTICO
ACTICO führt weiterhin eine Bestandsaufnahme der Produkte und Systeme durch, die möglicherweise von der Sicherheitslücke betroffen sind. Soweit erforderlich, aktualisieren wir betroffene Komponenten, um die Schwachstelle zu beheben, und wenden in der Zwischenzeit Abhilfemaßnahmen an.
ACTICO Software Products
ACTICO führt für jedes Produkt eine Analyse der Auswirkungen der Schwachstelle durch. Wenn ein ACTICO Softwareprodukt betroffen ist, wird diese Seite aktualisiert, sobald eine Abhilfemaßnahme oder ein Fix verfügbar ist. Solche ACTICO-Produkte müssen dann vom Kunden aktualisiert werden.
ACTICO Professional Services
Die ACTICO Professional Services werden weiterhin direkt mit ihren Kunden zusammenarbeiten, um die Behebung von Problemen bei kundenspezifischen Anwendungen und Diensten zu unterstützen.
ACTICO Cloud and as-a-Service Products
Bei den ACTICO Cloud-Diensten behebt ACTICO die Sicherheitslücke, selbst in Fällen, in denen zusätzliche Kontrollebenen wie Netzwerkkontrollen und Web Application Firewalls die Ausnutzung dieser Schwachstelle verhindert haben.
ACTICO wird alle Dienste bewerten, die das Spring Framework verwenden, und Sicherheitslücken beheben und überprüfen, ob die Schutzmaßnahmen weiterhin wirksam sind.
ACTICO Platform 9.1
Die ACTICO Platform 9.1 Komponenten wie Model Hub, Execution Server und Workplace enthalten betroffene Versionen des Spring Frameworks. Aber sie laufen „standalone“ und können nicht als WAR in Tomcat betrieben werden. Folglich enthalten sie zwar die Sicherheitslücke, aber der bekannte „Exploit“ ist nicht anwendbar.
Dennoch werden wir Updates aller Platform 9.1 Komponenten mit aktualisiertem Spring Framework bereitstellen, spätestens am Montag, den 11. April 2022.
Update: Platform 9.1 mit aktualisiertem Spring Framework wurde am 11. April 2022 veröffentlicht.
Modeler
Modeler in allen Versionen ist nicht betroffen durch den „Exploit“ oder die Sicherheitslücke, da er keine HTTP Requests verarbeitet. Modeler ist kein Server.
Dennoch werden wir mit den nächsten Releases das Spring Framework aktualisieren. Ein entsprechendes Modeler 9.1 Release wird ebenfalls am Montag, den 11. April 2022 bereitgestellt.
Update: Platform 9.1 (inklusive Modeler) mit aktualisiertem Spring Framework wurde am 11. April 2022 veröffentlicht.
Model Hub 8.1
Model Hub 8.1 enthält betroffene Versionen des Spring Frameworks. Aber er läuft „standalone“ und kann nicht als WAR in Tomcat betrieben werden. Folglich enthält er zwar die Sicherheitslücke, aber der bekannte „Exploit“ ist nicht anwendbar.
Dennoch werden wir kurzfristig ein Update mit aktualisiertem Spring Framework bereitstellen. Das genaue Datum wird noch bekannt gegeben.
Update: Model Hub 8.1.21 mit aktualisiertem Spring Framework wurde am 6. April 2022 veröffentlicht.
Workplace 3.8
Workplace 3.8 enthält betroffene Versionen des Spring Frameworks und damit auch die Sicherheitslücke. Der Betrieb erfolgt normalerweise „standalone“, aber eine Bereitstellung als WAR ist möglich.
Wenn Workplace 3.8 „standalone“ betrieben wird, ist der bekannte „Exploit“ nicht anwendbar.
Wenn Workplace 3.8 als WAR in einem Tomcat bereitgestellt wurde und mit Java 9 oder höher läuft, dann ist der bekannte „Exploit“ anwendbar.
Wir werden kurzfristig ein Update mit aktualisiertem Spring Framework bereitstellen. Das genaue Datum wird noch bekannt gegeben.
Update: Workplace 3.8.26 mit aktualisiertem Spring Framework wurde am 28. April 2022 veröffentlicht.
Compliance Suite
Compliance Suite enthält betroffene Versionen des Spring Frameworks und damit auch die Sicherheitslücke.
Compliance Suite wird häufig in einem Tomcat als WAR betrieben. Wenn dies der Fall ist und sie auf einem Java 9 oder höher betrieben wird, dann ist sie von dem „Exploit“ betroffen
Setzen Sie sich bitte mit uns in Verbindung wenn Sie betroffen sind, damit wir uns über die Installation des Tomcat Patches verständigen können.
Wir werden ein Update der Compliance Suite 3.5 mit aktualisiertem Spring Framework bereitstellen. Das genaue Datum wird noch bekannt gegeben.
ACTICO Rules 6.8 (Modeler, Team Server, Execution Server, Identity Management)
ACTICO Rules 6.8 ist nicht betroffen. Es läuft nur mit Java 8.
Wir werden kein Update bereitstellen.
Visual Rules 7.2 / 8.0
Visual Rules 7.2 / 8.0 ist nicht betroffen. Es läuft nur mit Java 8.
Wir werden kein Update bereitstellen.
Falls Sie Fragen haben, schreiben Sie bitte eine Mail an support@actico.com, um ein Ticket zu eröffnen.