Utilisation et diffusion de ce document

Les avis de sécurité du consortium ESUP-Portail portent sur des vulnérabilités des logiciels diffusés par le consortium. Il est de la responsabilité de chacun des destinataires de ce document de ne pas le rediffuser en dehors du cadre pour lequel il a été écrit, pour des raisons évidentes de sécurité des Systèmes d'Information de tous les établissements du consortium ESUP-Portail.

Objet	CVE-2022-22965 vis à vis des applications ESUP
Référence	ESUP-2022-AVI-001
Date de la première version	1 avril décembre 2022
Date de la dernière version	1 avril décembre 2022
Source	CVE-2022-22965
Diffusion de cette version	Publique
Historique	31 mars 2022 : réception de la faille https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement (Pascal Rigaux) 31 mars 2022 : reproduction de l'exploit via des POC (Pascal Rigaux, David Lemaignent, Valentin Hagneré, Vincent Bonamy) 31 mars 2022 : reproduction de l'exploit sur esup-dematec (Vincent Bonamy) 1 avril 2022 : rédaction de l'avis (Pascal Rigaux, Vincent Bonamy) 1 avril 2022 : envoi de l'avis de sécurité à securite@esup-portail.org
Planning prévisionnel	-
Pièces jointes	-

Risque

Possibilité pour un attaquant d'envoyer et faire exécuter du code arbitraire à un serveur.

Systèmes affectés

Cette vulnérabilité peut impacter les applications spring déployées sur un Tomcat avec un jdk11 par exemple (jdk 9 ou supérieur)
la version 5.3.18 de spring a pour objet de combler la faille.

Description

Suivant l'implémentation des applications et la possibilité pour un anonyme notamment d'effectuer des "POST", cette vulnérabilité est plus ou moins exploitable.

L'exploitation de la faille telle que proposée dans les scripts POC consiste :

identifier une url (dédiée à un POST avec désérialisation d'objet) comme vulnérable
envoyer en POST le contenu serialisé d'un objet dont la désérialisation peut provoquer l'écriture sur le serveur d'application d'un fichier
ce fichier peut correspondre à une jsp qui peut permettre d'exécuter un code arbitraire sur le serveur.

Solutions

Plusieurs solutions sont disponibles.

le mieux est de mettre à jour les librairies spring et donc les applications proposant ces mises à jour
on peut aussi repasser sur l'usage d'un openjdk 8 puisque seules les versions supérieures sont censées permettre l'exploit

Applications concernées

EsupDematEC 1.9.0 déployée sur un Tomcat avec un jdk11
EsupDematEC 1.9.1 embarque les librairies spring à jour

Applications potentiellement concernées

Potentiellement toutes les applications proposant du spring-webmvc.

Ainsi des nouvelles versions sont proposées pour Apereo CAS et Shibboleth IdP.

Pour les applications ESUP, de nouvelles versions sont également disponibles pour esup-sgc, esup-nfc-tag, esup-emargement, esup-papercut, esup-pay, esup-signature, ...

Liens

Blog Spring.io du 31 mars 2022 https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
CVE-2022-22965 de VMware https://tanzu.vmware.com/security/cve-2022-22965
CVE-2022-22965 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22965
CERTFR-2021-ALE-022 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-297/

Pages enfant

Pages Avis de sécurité ESUP-2022-AVI-001 - CVE-2022-22965