Les avis de sécurité du consortium ESUP-Portail portent sur des vulnérabilités des logiciels diffusés par le consortium. Il est de la responsabilité de chacun des destinataires de ce document de ne pas le rediffuser en dehors du cadre pour lequel il a été écrit, pour des raisons évidentes de sécurité des Systèmes d'Information de tous les établissements du consortium ESUP-Portail.
Objet | CVE-2022-22965 vis à vis des applications ESUP |
Référence | ESUP-2022-AVI-001 |
Date de la première version | 1 avril 2022 |
Date de la dernière version | 11 avril 2022 |
Source | CVE-2022-22965 |
Diffusion de cette version | Publique |
Historique |
|
Planning prévisionnel | - |
Pièces jointes | - |
Suivant l'implémentation des applications et la possibilité pour un anonyme notamment d'effectuer des "POST", cette vulnérabilité est plus ou moins exploitable.
L'exploitation de la faille telle que proposée dans les scripts POC consiste à :
Plusieurs solutions sont disponibles.
on peut aussi repasser sur l'usage d'un openjdk 8 puisque seules les versions supérieures permettent l'exploit
on peut aussi mettre à jour Tomcat (8.5.78 ou 9.0.62 ou 10.0.20 qui ferment la vulnérabilité connue).
EsupDematEC 1.9.0 déployée sur un Tomcat avec un jdk11
EsupDematEC 1.9.1 (et supérieur) embarque les librairies spring à jour
Potentiellement les applications utilisant certaines fonctionnalités de spring-webmvc et déployées sur un Tomcat avec un jdk9 ou supérieur.
Ainsi des nouvelles versions sont proposées pour Apereo CAS et Shibboleth IdP.
Pour les applications ESUP, de nouvelles versions sont également disponibles pour esup-sgc, esup-nfc-tag, esup-emargement, esup-papercut, esup-pay, esup-signature, ecandidat, esup-mdw (Esup MonDossierWeb), ...
ecandidat, fwa, esup-mdw : référencent spring-webmvc mais ne l'utilisent que pour proposer des méthodes/controller sans mapping d'objet ; ne proposant donc pas d'url permettant d'exploiter la faille
grouper, pstage : n'utilisent pas spring-webmvc
EsupUserApps, ProlongationENT, Ametys, Nuxeo : n'utilisent pas Spring
Dans tous les cas, il est préférable de disposer de briques à jour, notamment vis-à-vis de cette faille :
Blog Spring.io du 31 mars 2022 https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
CVE-2022-22965 de VMware https://tanzu.vmware.com/security/cve-2022-22965
CVE-2022-22965 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22965
CERTFR-2021-ALE-022 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-297/