BEGIN:VCALENDAR
VERSION:2.0
METHOD:PUBLISH
PRODID:- Tech-Nachrichten //NONSGML Events //EN
CALSCALE:GREGORIAN
X-WR-CALNAME:ICAL-BLOG
BEGIN:VEVENT
UID:fe2deb3b-167c-4241-8e54-22fd500d2171
DTSTAMP:20260516T120628Z
CREATED:20260516T120628Z
SUMMARY:Java: Spring4Shell Sicherheitslücke
DESCRIPTION:https://tech-nachrichten.de/java-spring4shell-sicherheitsluecke/ - Artikel vom: Mo.\, 11. April 2022\, 15:39:17 - vor einigen Tagen wurde im #Java Basierten Spring Framework eine kritische #Sicherheitslücke #Spring4Shell entdeckt und mittlerweile auch geschlossen. Nach intensiver Recherche konnten wir keine Software entdecken\, die das Framework im uns bekannten Umfeld einsetzt. Außerdem erfordert das Ausnutzen der Lücke eine recht exotische Installationsanordnung. Das bedeutet nicht\, dass Sie im eigenen Umfeld diese Konstellation einsetzen könnten.\n \nDiese Lücke zeigt jedoch wieder\, dass der Einsatz von Java-basierter Software grundsätzlich ein Risiko darstellt. Da es keine zentrale Liste gibt\, die beschreibt\, welche JAVA-Bibliotheken eine Software-Anwendung einsetzt und jede Java-Version spätestens nach drei Monaten ohne Updates Sicherheitslücken enthält\, bleibt der Einsatz von JAVA kritisch.\n \n[faq openfirst=0 numbered=1 sort="asc"]\nWann bin ich von der Lücke betroffen?|=|Nur\, wenn Sie JAVA in Verbindung mit einer JAVA-basierten Software im Einsatz haben\, die das Spring Framework einsetzt||\nWas kann ich tun?|=|Die effektivste Methode ist\, sich von allen JAVA-Installationen zu trennen\, und wenn Software mit JAVA im Einsatz ist\, nach Alternativen zu suchen||\nIst Spring4Shell so gefährlich wie LOG4Shell?|=|Nein. Erstens setzen wesentlich weniger JAVA-Projekte auf dieses Framework als das bei LOG4J der Fall ist\, zweitens lässt sich die Remote Code Lücke nur in Verbindung mit einer in speziellem Modus gestarteten TOMCat Webserver nutzen||\nWo bekomme ich den Patch her?|=|Wenn Sie eine Software identifiziert haben sollten\, die das Framework benutzt\, wenden Sie sich bitte an den Hersteller der Software[/faq]\n \nUmgang mit Java\n \nVorhandene JAVA-Installationen sollten darauf geprüft werden\, ob sie noch von Programmen genutzt werden - wenn nicht: entfernen!Ist die Java-Installation von Oracle\, sollte sie grundsätzlich sofort entfernt und durch Adoptium Temurin ersetzt werden. Möchte man aktuelle Oracle Java Versionen einsetzen\, ist ein Abonnement mit der Oracle Corporation pro Gerät erforderlich.Im Optimalfall ist keine Software auf JAVA-Basis mehr erforderlich. Damit lassen sich dann auch keine Schwachstellen wie LOG4J oder SPRING4SHELL ausnutzen und die Sicherheitslücken der Java-Runtime entfallen.Bleibt noch JAVA-basierte Software im Einsatz\, nehmen Sie mit dem Hersteller Kontakt auf und fragen nach Alternativen - oder stellen die Produkte ein. "Ein Leben ohne JAVA ist möglich und nicht sinnlos".\n \nSpring4Shell has been catalogued as CVE-2022-22965 and fixed in Spring Framework 5.3.18 and 5.2.20\, and Spring Boot (which depends on the Spring Framework) 2.5.12 and 2.6.6.“The vulnerability impacts Spring MVC and Spring WebFlux applications running on JDK 9+. The specific exploit requires the application to run on Tomcat as a WAR deployment\,” Spring Framework developers have explained.“If the application is deployed as a Spring Boot executable jar\, i.e. the default\, it is not vulnerable to the exploit. However\, the nature of the vulnerability is more general\, and there may be other ways to exploit it.”https://www.helpnetsecurity.com/2022/04/01/cve-2022-22965/
LOCATION:https://tech-nachrichten.de
CATEGORIES:Gelbe Kategorie
TRANSP:TRANSPARENT
X-MICROSOFT-CDO-BUSYSTATUS:FREE
SEQUENCE:0
CLASS:PUBLIC
PRIORITY:1
DTSTART:20260517T070000Z
DTEND:20260517T080000Z
BEGIN:VALARM
TRIGGER:-PT30M
ACTION:DISPLAY
DESCRIPTION:Reminder for Java: Spring4Shell Sicherheitslücke
END:VALARM
END:VEVENT
END:VCALENDAR