Spring Framework: Updates beheben neue, alte Sicherheitslücke

Die Entwickler des Spring Frameworks haben erneut einen Fehler in der Verarbeitung von URLs gefunden und behoben. In der Klasse UriComponentsBuilder findet sich eine fehlerhafte Verarbeitungslogik, die die URL bei Vorkommen bestimmter Sonderzeichen irrtümlicherweise nicht korrekt in ihre Bestandteile zerlegt. So können Angreifer die verwundbare Anwendung möglicherweise dazu bringen, unerwünschte Web-Adressen aufzurufen oder eine "Open Redirect"-Schwachstelle erzeugen.

Gemäß dem knappen Advisory-Text handelt es sich bei dem Fehler mit der CVE-ID CVE-2024-22259 und der CVSS-Punktzahl 8,1/10 (Risiko "hoch") lediglich um eine Variante der vor einigen Wochen veröffentlichten CVE-2024-22243.

Jener Fehler lässt sich offenbar provozieren, indem der Angreifer einer URL ein "[" zwischen User- und Host-Part beifügt. Eine URL der Form http://gut.de[@boese.de wird so nicht etwa in den Benutzernamen-Teil "gut.de[" und den Domain-Teil "boese.de" aufgespalten, sondern offenbar interpretiert das Spring Framework irrtümlich "gut.de" als Domain. Durch diesen Fehler können Überprüfungen – etwa, ob eine Domain bestimmte Zeichenketten enthält und somit auf einer Blockliste steht – fehlschlagen. Die nun gemeldete Sicherheitslücke dürfte auf einem ähnlichen Trick beruhen.

Updates für drei Versionsbäume

Das Spring-Team empfiehlt Entwicklern, zügig Updates einzuspielen:

• Version 6.1.0 bis 6.1.3 enthielt den Fehler, er ist in Version 6.1.4 behoben,
• ebenso waren 6.0.0 bis 6.0.16 fehlerhaft – Version 6.0.17 enthält den Flicken und
• wer noch auf Version 5.3.0 bis 5.3.31 setzt, sollte auf Version 5.3.32 updaten.

Das Spring Framework wird von VMware Tanzu gesponsort. Vor genau einem Jahr hatten die Entwickler bereits mehrere Löcher in der Bibliotheksammlung behoben.

(cku)