1. Home
  2. Service & Support
  3. Service
  4. Security
  5. Security issues
  6. Word ik geraakt door de kwetsbaarheid in Spring4Shell / Spring Core Framework ( CVE-2022-22965)?

Word ik geraakt door de kwetsbaarheid in Spring4Shell / Spring Core Framework ( CVE-2022-22965)?

Security issues

Laatst gewijzigd op 20 juli 2022

(Update:  05.05.2022  13:10 uur)

Laatste update


Word ik geraakt door de kwetsbaarheid in Spring4Shell / Spring Core Framework  ( CVE-2022-22965)?


Op dit moment zijn we zijn aan het onderzoeken of/welke implicaties er zijn voor onze software.


  • Algemene informatie Spring4Shell kwetsbaarheid

  • Cadac producten (resultaten klik hier)

  • Autodesk producten (Uitkomst klik hier)



Algemene informatie Spring4Shell kwetsbaarheid

Er is op dit moment een high/high kwetsbaarheid aangetroffen in de het Spring Core Framework met de naam Spring4Shell (

CVE-kenmerk: CVE-2022-22965.) Spring Core Framework is een set van Java libraries waarmee op gestructureerde wijze applicaties kunnen worden ontwikkeld die vervolgens zowel standalone kunnen draaien of in webapplicatie-omgevingen als Tomcat. 


kwaadwillende kan de kwetsbaarheid misbruiken om willekeurige code uit te voeren in de scope van de ontwikkelde applicatie, en mogelijk daarmee toegang kan krijgen tot gevoelige informatie binnen die applicatie. 

Vooralsnog zijn nog geen geslaagde pogingen om deze kwetsbaarheid actief te misbruiken waargenomen. 

Omdat niet valt vast te stellen met welke rechten de applicatie actief is, kan misbruik van deze kwetsbaarheid mogelijk leiden tot de uitvoer van willekeurige code met verhoogde rechten op het onderliggende systeem.


Er zijn op dit moment diverse randvoorwaarden bekend waaraan voldaan moet worden om de kwetsbaarheid te kunnen misbruiken. De applicatie:


  • maakt gebruik van Spring Core Framework (tot en met versie 5.3.17);
  • maakt gebruik van form bindings met "name=value" data;
  • maakt geen gebruik van een allowlist of denylist waarbij het gebruik van specifieke velden wordt uitgesloten (zoals "class", "module" en "classLoader");
  • draait op Java 9 of hoger

Hierdoor valt het aantal applicaties die kwetsbaar zijn lager uit in vergelijking met Log4j. 


Meer info: https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/#the-current-situation



Worden Cadac producten geraakt door Spring4shell?


NedGeoservices -> risico alleen in combinatie met java 9+

-   NedGeoservices kan in combinatie met zowel Java 8 als Java 11 gebruikt worden. Gebruikers die NedGeoservices draaien op Java 8 zijn niet vatbaar voor de kwetsbaarheid CVE-2022-22965.

-   Op dit moment wordt gewerkt aan NedGeoservices versie 3.3.7. In deze versie zal Apache Tomcat geüpdatet worden naar versie 9.0.62. In deze versie van Tomcat wordt het misbruik gemitigeerd. Houdt u de download portal in de gaten voor de releasedatum van NedGeoservices 3.3.7. Deze release wordt verwacht in de week van 16-20 mei.


NedBGT-dashboard -> Indirect risico 

NedBGT-dashboard maakt gebruik van GeoServer. GeoServer maakt gebruik van de genoemde Java libraries. Uit het onderzoek van GeoServer blijken de genoemde Java libraries via GeoServer voor alsnog niet misbruikt te kunnen worden (zie Spring RCE vulnerability (geoserver.org) ).


Meer informatie over het NedBGT Dashboard en deze kwetsbaarheid is hier te vinden.


Ook hier geldt dat zodra Geoserver gepatcht is (wordt door de GeoServer comunity aan gewerkt),  dan zal deze nieuwe versie van GeoServer geïmplementeerd wordt.


Cadac smartGlobe -> Indirect risico

De Cadac smartGlobe Aeronautical Charting Solution maakt voor AIXM 5.1 data import gebruik van een server applicatie die is gebaseerd op het Spring Framework. Een eerste analyse doet vermoeden dat het gevonden beveiligingslek geen gevolgen heeft voor deze applicatie vanwege de volgende redenen:

 

  1. De applicatie is gebaseerd op de Java 8 SDK terwijl de kwetsbaarheid zit in Java 9;
  2. Als platform wordt momenteel alleen Oracle WebLogic server ondersteund. De applicatie is dus niet leverbaar voor Apache Tomcat waarin de kwetsbaarheid is gevonden.

 

Deze conclusie is gebaseerd op de informatie van de leverancier van het Spring Framework: https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement#am-i-impacted



Cadac Producten -> Geen risico 

De onderstaande producten bevatten geen Spring 4 shell / Spring Core framework. 


  • Cadac Nxtdim
  • Cadac Organice Vault
  • Epicor (Kbmax)
  • FME server
  • GEOCAD
  • IGOS
  • NedArchiveren
  • NedBRK
  • NedBrowser
  • NedGlobe
  • NedInfra
  • NedInwinning
  • NedMagazijn (Basis/Kern)
  • NedOmgeving
  • NedPlan
  • NedValidatie 
  • NedWibon
  • NGdW
  • Nordined (LT)
  • SurveyInterface
  • Techline
  • TheModus Essential
  • TheModus Model Extender
  • TheModus Professional (Cadac-Revit)
  • TopoCAD



Worden Autodesk producten geraakt door de Spring4shell?

Ondanks dat Autodesk de kwetsbare bibliotheken gebruikt, gebruiken zij deze op een manier die niet kwetsbaar is (d.w.z. gedeployed als jar vs war).

Er is ook een Web Application Firewall (WAF)-laag toegepast bovenop onze Application Programming Interface (API) om log4j-kwetsbaarheden te verminderen.


bovenstaand antwoord is op basis van het volgende kennisbank artikel van Autodesk:
https://knowledge.autodesk.com/support/recap/troubleshooting/caas/sfdcarticles/sfdcarticles/Are-Autodesk-products-impacted-by-Spring4Shell.html



Bij Cadac maken we onderscheid tussen Sales, Service & Support. Sales & Service vinden wij vanzelfsprekend. Wij helpen u met de aanschaf van uw product, dienst, training of expert en zorgen ervoor dat u probleemloos aan de slag kunt. Gratis en voor niets. U kunt zorgeloos met uw software starten, wij zorgen ervoor dat u het meeste uit uw software kunt halen.

Loopt u tegen technische softwareproblemen aan? Dan kunt u gebruik maken van Cadac Support. Door de juiste informatie in te dienen kunnen wij u zo snel mogelijk helpen

Stel een vraag

Waar heeft u een vraag over?

  • Support
  • Sales
  • Service
Log in en ontdek uw persoonlijke prijs

Mijn Cadac inloggen

U bent uitgelogd

U heeft een verkeerd e-mailadres of wachtwoord ingevuld

Nieuw bij Cadac?

  • Bestel software tegen de beste prijs De beste experts, direct te boeken
  • Eén account voor al uw producten en diensten Eén account voor al uw producten en diensten
  • Krijg toegang tot een uitgebreid netwerk van opdrachtgevers en experts Krijg toegang tot een uitgebreid netwerk van opdrachtgevers en experts
Hulp nodig? Service & Support

Account aanmaken

Het wachtwoord moet ten minste 8 tekens lang zijn en ten minste één kleine letter, één hoofdletter en één cijfer bevatten.

U heeft een aantal velden niet (correct) ingevuld

Dit e-mailadres is al in gebruik.

Privacy statement

Waarom een account aanmaken?

  • Bestel software tegen de beste prijs Bestel software tegen de beste prijs
  • Eén account voor al uw producten en diensten Eén account voor al uw producten en diensten
  • Krijg toegang tot een uitgebreid netwerk van opdrachtgevers en experts Krijg toegang tot een uitgebreid netwerk van opdrachtgevers en experts
Hulp nodig? Service & Support

Wachtwoord vergeten

Heeft u problemen met inloggen? Vul uw e-mailadres in en u ontvangt van ons een link om uw wachtwoord opnieuw in te stellen. Weet u niet welk e-mailadres is gebruikt? Neem dan contact met ons op.

U heeft een ongeldig e-mailadres ingevuld.

Dit e-mailadres komt niet voor in ons systeem.

Oops... Er is iets misgegaan, neem contact met ons op.

Nieuw bij Cadac?

  • Bestel software tegen de beste prijs De beste experts, direct te boeken
  • Eén account voor al uw producten en diensten Eén account voor al uw producten en diensten
  • Krijg toegang tot een uitgebreid netwerk van opdrachtgevers en experts Krijg toegang tot een uitgebreid netwerk van opdrachtgevers en experts
Hulp nodig? Service & Support

Wachtwoord vergeten

U heeft een e-mail van ons ontvangen met daarin een link om uw wachtwoord opnieuw in te stellen.

Nieuw bij Cadac?

  • Bestel software tegen de beste prijs De beste experts, direct te boeken
  • Eén account voor al uw producten en diensten Eén account voor al uw producten en diensten
  • Krijg toegang tot een uitgebreid netwerk van opdrachtgevers en experts Krijg toegang tot een uitgebreid netwerk van opdrachtgevers en experts
Hulp nodig? Service & Support

Wachtwoord opnieuw instellen

Helaas, uw link is verlopen of ongeldig.
Klik op onderstaande button om een nieuwe link aan te vragen.

Vul hieronder uw nieuwe wachtwoord in.

Het wachtwoord moet ten minste 8 tekens lang zijn en ten minste één kleine letter, één hoofdletter en één cijfer bevatten.

Een van de wachtwoorden is leeg of ze komen niet overeen.

Dit e-mailadres komt niet voor in ons systeem.

Oops... Er is iets misgegaan, neem contact met ons op.

Nieuw bij Cadac?

  • Bestel software tegen de beste prijs De beste experts, direct te boeken
  • Eén account voor al uw producten en diensten Eén account voor al uw producten en diensten
  • Krijg toegang tot een uitgebreid netwerk van opdrachtgevers en experts Krijg toegang tot een uitgebreid netwerk van opdrachtgevers en experts
Hulp nodig? Service & Support

Wachtwoord opnieuw ingesteld

Uw wachtwoord is succesvol aangepast. Vanaf nu kunt u inloggen met uw nieuwe wachtwoord.

Nieuw bij Cadac?

  • Bestel software tegen de beste prijs De beste experts, direct te boeken
  • Eén account voor al uw producten en diensten Eén account voor al uw producten en diensten
  • Krijg toegang tot een uitgebreid netwerk van opdrachtgevers en experts Krijg toegang tot een uitgebreid netwerk van opdrachtgevers en experts
Hulp nodig? Service & Support