Er is een kwetsbaarheid ontdekt in Spring Core Framework. Spring Core Framework is een set van Java libraries waarmee applicaties kunnen worden ontwikkeld die vervolgens zowel standalone kunnen draaien of in webapplicatie-omgevingen als Tomcat.
Update 7 april
Hierbij een update op de communicatie over de Spring4Shell kwetsbaarheid waarover wij eerder hebben geïnformeerd.
Bij ons verdere onderzoek zijn geen applicaties aangetroffen die voldoen aan de condities die het mogelijk zouden maken om de kwetsbaarheid te misbruiken. Ook vanuit leveranciers zijn ons geen applicaties gemeld die hieraan voldoen.
Hiermee sluiten we deze communicatie af. Mochten zich toch andere omstandigheden of nieuwe kwetsbaarheden rond Spring4Shell zich voordoen dan zullen wij hierover berichten.
-----
Update 1 april
Hierbij een update op de communicatie over de Spring4Shell kwetsbaarheid waarover wij eerder hebben geïnformeerd.
Onderzoek heeft uitgewezen dat de kwetsbaarheid alleen te misbruiken is in samenhang met Java9. Voor de meeste software van Centric en externe leveranciers wordt Java8 gebruikt, waarmee deze kwetsbaarheid niet kan worden misbruikt.
Het onderzoek concentreert zich nu verder op het mogelijke gebruik van Java9 binnen applicaties van Centric of van externe leveranciers.
-----
De kwetsbaarheid moet aan een aantal voorwaarden voldoen om misbruikt te kunnen worden, om die reden lijkt de impact vooralsnog beperkt.
Volgens het NCSC is er een update beschikbaar die op dit moment door ons beoordeeld wordt. Ook komt er identificatie tooling beschikbaar.
Op dit moment wordt in beeld gebracht welke applicaties van externe leveranciers en van onszelf mogelijk kwetsbaar zijn voor deze kwetsbaarheid. Zodra er meer duidelijkheid is, ook vanuit de Nederlandse overheid of andere relevante bronnen, dan zullen wij jullie verder hierover berichten.
Klanten die vragen hebben over hun systemen worden vriendelijk verzocht contact op te nemen met Centric via hun gebruikelijke kanaal.