Spring Security CVE in 1.28

Hallo Zusammen,

wir haben bei unserer Verinice.PRO Installation bemerkt, dass die eingesetzte Spring Security Version eine relativ alte Sicherheitslücke enthält:
CVE-2022-22978
Diese würde einen Authentification bypass ermöglichen.
Ich habe keinen beitrag oder andere informationen gefunden, wo über diese Schwachstelle gesprochen wird.
Die Verwundbare .jar wird zusammen mit den neusten Dateien installiert. - daher nehme ich an, das Verinice diese Funktionalitäten auch benötigt - ?

Ist es geplant, Spring Security auf eine aktuellere Version zu Updaten? (das wäre 5.x.x,)
oder soll mittelfristig hier Verinice.Veo hier diese technologie ablösen?

konkretes file:
/var/lib/tomcat/webapps/veriniceserver/WEB-INF/lib/spring-security-core-2.0.7.RELEASE.jar

Hallo Pok1990,

zunächst das wichtigste: die Schwachstelle CVE-2022-22978 ist in verinice.PRO nicht relevant: die betroffene Klasse „RegexRequestMatcher“ aus spring-security-web ist in den von uns ausgelieferten Bibliotheken nicht enthalten (auch nicht in spring-security-core).

Wir bewerten kontinuierlich die bekannt gewordenen Schwachstellen in den von uns eingesetzten Open-Source Bibliotheken. Aufgrund der inzwischen langjährigen Entwicklung von verinice.PRO ist es uns nicht in jedem Fall möglich, auf die neueste Version einer Library oder eines Frameworks zu wechseln. So setzen wir z.B. serverseitig nach wie vor auf „java-11“, allerdings verwenden wir hier ein Paket, das nach wie vor mit Security-Updates versorgt wird (bei Almalinux 8 noch bis Ende Mai 2029).

Für alle Bibliotheken, die wir nicht leicht durch neuere Releases ersetzen können, überwachen und bewerten wir die veröffentlichten Schwachstellen auf Relevanz entsprechend der Nutzung der angebotenen Funktionen in verinice. In vielen Fällen ist eine Schwachstelle für unseren konkreten Fall nicht zutreffend, weil wir die betroffene Funktion nicht oder nicht in der angreifbaren Art nutzen. In anderen Fällen können wir auf die Schwachstelle durch Änderungen im Code reagieren - das kann z.B. der Einbau zusätzlicher Sicherheitsfunktionen sein, bis hin zur Veröffentlichung eines Sicherheits-Patches (siehe z.B. Update für verinice-REST-Service schließt Schwachstelle ).

Für Ihre eigene Einschätzung und Risikobewertung senden wir Ihnen als verinice.PRO Kunde gern alle uns bekannten Schwachstellen - jeweils mit unserer Bewertung im Kontext von verinice.PRO. Schreiben Sie uns dafür einfach eine Email an verinice@sernet.de.

Und richtig - unsere zukunftsfähige Lösung über das geplante Support-Ende für verinice.PRO in 2027 hinaus lautet dann in der Tat verinice.veo. :wink:

Hallo AlexanderK,

vielen Dank für die umfangreiche, transparente und aufschlussreiche Antwort!
Tatsächlich ist damit das Topic von unserer Seite erledigt :slight_smile:

1 Like