Sicherheitslücke in Spring Security entdeckt

Am 19. August 2024 wurde eine bedeutende Sicherheitslücke in Spring Security bekannt gegeben. Diese Schwachstelle CVE-2024-38810 betrifft die Versionen 6.3.0 und 6.3.1 und könnte dazu führen, dass bestimmte sicherheitsrelevante Prüfungen in Anwendungen nicht ordnungsgemäß durchgeführt werden.

Die Lücke betrifft Anwendungen, die die Annotation @AuthorizeReturnObject oder die von Spring Security bereitgestellte AuthorizationAdvisorProxyFactory @Bean verwenden, um Objekte zu umschließen. In betroffenen Systemen kann es vorkommen, dass Sicherheitsprüfungen wie @PreFilter und @PreAuthorize nicht wie vorgesehen auf diese umschlossenen Objekte angewendet werden. Dies könnte dazu führen, dass unbefugte Zugriffe möglich sind, wenn diese Prüfungen nicht korrekt ausgeführt werden.

Die Schwachstelle tritt nur unter bestimmten Bedingungen auf. Betroffen sind Anwendungen, die:

  • AnnotationAwareAspectJAutoProxyCreator zur Proxy-Erstellung verwenden,
  • mindestens ein FactoryBean im Anwendungskontext haben,
  • methodenbasierte Sicherheit mit @EnableMethodSecurity aktiviert haben,
  • @AuthorizeReturnObject oder AuthorizationAdvisorProxyFactory @Bean verwenden,
  • und Sicherheitsannotations wie @PreFilter oder @PreAuthorize auf diese umschlossenen Objekte anwenden.

Anwendungen, die diese Bedingungen nicht erfüllen, sind von der Schwachstelle nicht betroffen.

Nutzer der betroffenen Spring Security-Versionen sollten umgehend auf die Version 6.3.2 oder höher aktualisieren, um die Sicherheitslücke zu schließen. Es sind keine weiteren Maßnahmen erforderlich.

Related Posts

Kritische SAML Sicherheitslücke in GitHub Enterprise Server behoben

Die Sicherheitslücke CVE-2024-6800 in GitHub Enterprise Server (GHES) betrifft die XML-Signatur-Validierung bei der SAML-Authentifizierung und ermöglicht es einem Angreifer mit direktem Netzwerkzugang, eine gefälschte SAML-Antwort zu erstellen. Dadurch konnte ein Angreifer ohne vorherige Authentifizierung Administratorzugriff auf die GHES-Instanz erlangen.

Read More

Kritische Sicherheitslücke in Zabbix: Direkter Zugriff auf Speicherzeiger im JS-Engine

Eine Memory Pointer Sicherheitslücke (CVE-2024-36461) wurde in der Open Source Monitoring-Software Zabbix gefunden. Die Lücke ermöglicht es Nutzern mit beschränkten Rechten, direkt auf Speicherzeiger innerhalb der JavaScript-Engine zuzugreifen und diese zu modifizieren. Dadurch besteht die Gefahr einer Remote Code Execution (RCE), die die gesamte Infrastruktur kompromittieren kann.

Read More

Kritische Zero-Day-Zero-Click RCE Schwachstelle in Windows TCP/IP entdeckt

Microsoft hat am 13. August 2024 die kritische Sicherheitslücke CVE-2024-38063 im Windows TCP/IP-Stack veröffentlicht. Diese Zero-Day-Schwachstelle ermöglicht eine Remote Code Execution (RCE) ohne jegliche Benutzerinteraktion und hat eine CVSS-Bewertung von 9.8, was auf die Schwere des Problems hinweist. Der Fehler liegt in einem Integer-Underflow (CWE-191), der es Angreifern ermöglicht, über das Netzwerk Kontrolle über betroffene Systeme zu erlangen.

Read More