1. Anasayfa
  2. Security

VMSA-2022-0010.2 / CVE-2022-22965

VMSA-2022-0010.2 / CVE-2022-22965
0

VMware Response to Spring Framework Remote Code Execution Vulnerability (CVE-2022-22965)

1. Impacted Products
  • VMware Tanzu Application Service for VMs (TAS)
  • VMware Tanzu Operations Manager (Ops Manager)
  • VMware Tanzu Kubernetes Grid Integrated Edition (TKGI)

CVE-2022-22965 tarafından tanımlanan 9.8 olan Spring Framework projesinde VMware ürünlerini etkileyen kritik bir güvenlik açığı yayınlandı.

CVE-2022-22965 (Spring4Shell, SpringShell), bir HTTP isteği içinde depolanan verileri bir uygulama tarafından kullanılan belirli nesnelere bağlamak için veri bağlama işlevini kullanan Spring Framework’teki bir güvenlik açığıdır. Hata , sınıf adlarını bir HTTP isteği aracılığıyla ileterek bu tür nesnelere yetkisiz erişim elde etmek için kullanılabilen getCachedIntrospectionResults yönteminde bulunur. Özel nesne sınıfları kullanıldığında veri sızıntısı ve uzaktan kod yürütme riskleri yaratır.

Güvenlik açığı bulunan bir yapılandırma şunlardan oluşur.

  • Apache Tomcat for serving the application
  • Spring Framework versions 5.3.0 to 5.3.17 and 5.2.0 to 5.2.19 and below
  • application built as a WAR file

VMware aşağıdaki linkte yer alan ürünler için bir response matrix ‘i oluşturmuş olup kullandığınız platformları güncellemenizi tavsiye etmektedir.

https://www.vmware.com/security/advisories/VMSA-2022-0010.html

Response Matrix

Product Version Running On CVE Identifier CVSSv3 Severity Fixed Version Workarounds Additional Documentation
Tanzu Application Service for VMs
2.13
Any
CVE-2022-22965
Critical
2.13.2
None
Tanzu Application Service for VMs
2.12
Any
CVE-2022-22965
Critical
2.12.11
None
Tanzu Application Service for VMs
2.11
Any
CVE-2022-22965
Critical
2.11.18
None
Tanzu Application Service
2.10
Any
CVE-2022-22965
Critical
2.10.30
None
Tanzu Operations Manager
2.10
Any
CVE-2022-22965
Critical
Patch Pending
None
Tanzu Operations Manager
2.9
Any
CVE-2022-22965
Critical
Patch Pending
None
Tanzu Operations Manager
2.8
Any
CVE-2022-22965
Critical
Patch Pending
None
TKGI
1.13
Any
CVE-2022-22965
Critical
Patch Pending
None
TKGI
1.12
Any
CVE-2022-22965
Critical
Patch Pending
None
TKGI
1.11
Any
CVE-2022-22965
Critical
Patch Pending
None

15 yılı aşkın bir süredir Bilgi Teknolojileri sektörünün içerisindeyim. Bilişim sektörü ile alakalı farklı eğitimler sertifikalar edinerek bu sektör içerisin de son 12 yıldır profesyonel olarak çalışmaktayım. Yeditepe Üniversitesi Makine bölümü ve Eskişehir Üniversitesi işletme bölümü mezunuyum. Bilişim sektöründe kurumsal firmalarda, pek çok farklı pozisyonlarda görev aldım.

Yazarın Profili
İlginizi Çekebilir

Bültenimize Katılın

Hemen ücretsiz üye olun ve yeni güncellemelerden haberdar olan ilk kişi olun.

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir