Am 19. August 2024 wurde eine bedeutende Sicherheitslücke in Spring Security bekannt gegeben. Diese Schwachstelle CVE-2024-38810 betrifft die Versionen 6.3.0 und 6.3.1 und könnte dazu führen, dass bestimmte sicherheitsrelevante Prüfungen in Anwendungen nicht ordnungsgemäß durchgeführt werden.
Die Lücke betrifft Anwendungen, die die Annotation @AuthorizeReturnObject oder die von Spring Security bereitgestellte AuthorizationAdvisorProxyFactory @Bean verwenden, um Objekte zu umschließen. In betroffenen Systemen kann es vorkommen, dass Sicherheitsprüfungen wie @PreFilter und @PreAuthorize nicht wie vorgesehen auf diese umschlossenen Objekte angewendet werden. Dies könnte dazu führen, dass unbefugte Zugriffe möglich sind, wenn diese Prüfungen nicht korrekt ausgeführt werden.
Die Schwachstelle tritt nur unter bestimmten Bedingungen auf. Betroffen sind Anwendungen, die:
AnnotationAwareAspectJAutoProxyCreatorzur Proxy-Erstellung verwenden,- mindestens ein
FactoryBeanim Anwendungskontext haben, - methodenbasierte Sicherheit mit
@EnableMethodSecurityaktiviert haben, @AuthorizeReturnObjectoderAuthorizationAdvisorProxyFactory @Beanverwenden,- und Sicherheitsannotations wie
@PreFilteroder@PreAuthorizeauf diese umschlossenen Objekte anwenden.
Anwendungen, die diese Bedingungen nicht erfüllen, sind von der Schwachstelle nicht betroffen.
Nutzer der betroffenen Spring Security-Versionen sollten umgehend auf die Version 6.3.2 oder höher aktualisieren, um die Sicherheitslücke zu schließen. Es sind keine weiteren Maßnahmen erforderlich.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: