Sicherheitslücke in Spring Security entdeckt
Am 19. August 2024 wurde eine bedeutende Sicherheitslücke in Spring Security bekannt gegeben. Diese Schwachstelle CVE-2024-38810 betrifft die Versionen 6.3.0 und 6.3.1 und könnte dazu führen, dass bestimmte sicherheitsrelevante Prüfungen in Anwendungen nicht ordnungsgemäß durchgeführt werden.
Die Lücke betrifft Anwendungen, die die Annotation @AuthorizeReturnObject oder die von Spring Security bereitgestellte AuthorizationAdvisorProxyFactory @Bean verwenden, um Objekte zu umschließen. In betroffenen Systemen kann es vorkommen, dass Sicherheitsprüfungen wie @PreFilter und @PreAuthorize nicht wie vorgesehen auf diese umschlossenen Objekte angewendet werden. Dies könnte dazu führen, dass unbefugte Zugriffe möglich sind, wenn diese Prüfungen nicht korrekt ausgeführt werden.
Die Schwachstelle tritt nur unter bestimmten Bedingungen auf. Betroffen sind Anwendungen, die:
AnnotationAwareAspectJAutoProxyCreatorzur Proxy-Erstellung verwenden,- mindestens ein
FactoryBeanim Anwendungskontext haben, - methodenbasierte Sicherheit mit
@EnableMethodSecurityaktiviert haben, @AuthorizeReturnObjectoderAuthorizationAdvisorProxyFactory @Beanverwenden,- und Sicherheitsannotations wie
@PreFilteroder@PreAuthorizeauf diese umschlossenen Objekte anwenden.
Anwendungen, die diese Bedingungen nicht erfüllen, sind von der Schwachstelle nicht betroffen.
Nutzer der betroffenen Spring Security-Versionen sollten umgehend auf die Version 6.3.2 oder höher aktualisieren, um die Sicherheitslücke zu schließen. Es sind keine weiteren Maßnahmen erforderlich.