A vulnerability has been discovered in Spring Core Framework. Spring Core Framework is a set of Java libraries that can be used to develop applications that can then run either standalone or in web application environments such as Tomcat.
Mise à jour du 1er avril
Voici une mise à jour sur la communication concernant la vulnérabilité Spring4Shell dont nous avons parlé précédemment.
Les recherches ont montré que la vulnérabilité ne peut être exploitée qu’en conjonction avec Java9. La plupart des logiciels de Centric et de fournisseurs externes utilisent Java8, ce qui signifie que cette vulnérabilité ne peut pas être exploitée.
L’enquête se concentre désormais sur l’utilisation éventuelle de Java9 dans les applications de Centric ou celles de fournisseurs externes.
La vulnérabilité doit remplir un certain nombre de conditions pour pouvoir être utilisée de manière abusive, c’est pourquoi son impact semble actuellement limité.
Selon le NCSC, une mise à jour est disponible et nous sommes en train de l’évaluer. L’outillage d’identification sera également disponible.
Nous sommes en train d’identifier les applications des fournisseurs externes et les nôtres qui sont potentiellement vulnérables à cette vulnérabilité. Dès que nous aurons plus de clarté, également de la part du gouvernement néerlandais ou d’autres sources pertinentes, nous vous informerons davantage à ce sujet.
Les clients qui ont des questions sur leurs systèmes sont priés de contacter Centric via leur canal habituel.