VertiGIS nutzt diese Seite, um Informationen über die kritische Sicherheitslücke CVE-2022-22965, bekannt als Spring4Shell, die am 31. März 2022 bekannt wurde, und ihre Auswirkungen im Kontext WebOffice bereitzustellen.
Dieser Artikel wird aktualisiert, sobald neue Informationen verfügbar sind.
VertiGIS untersucht aktuell die Auswirkungen der Sicherheitslücke CVE-2022-22965 in Bezug auf die WebOffice-Applikation sowie dazugehörigen Komponenten mit hoher Priorität und informiert hiermit über den jeweils aktuellen Stand:
ArcGIS Basistechnologie
Bezüglich der ArcGIS Basistechnologie empfiehlt VertiGIS den offiziellen Artikel seitens Esri Inc.:
Spring Framework RCE Vulnerabilities (esri.com)
Servlet Engine Apache Tomcat
Bezüglich der Servlet Engine Apache Tomcat empfiehlt VertiGIS ein Upgrade auf die aktuellste Version von Apache Tomcat 9 in der Version 9.0.62 oder darüber.
Mehr Informationen dazu hier nachzulesen:
Spring Framework RCE, Mitigation Alternative
Download-Übersichtsseite zur aktuellsten Version von Apache Tomcat:
Apache Tomcat® - Apache Tomcat 9 Software Downloads
Details zur Installation von Apache Tomcat im Kontext WebOffice im Handbuch nachzulesen:
Apache Tomcat Installation (vertigis.com)
WebOffice Applikationsserver
Damit die Schwachstelle ausgenutzt werden kann, muss Spring4Shell sowohl in der Tomcat Servlet Engine als auch in WebOffice in einer ungepachten Version vorliegen. Wird somit nur eine Komponente aktualisiert, wird die Sicherheitslücke geschlossen. VertiGIS empfiehlt jedoch trotzdem eine Tomcat Aktualisierung.
172798: Allgemein: Aktualisierung auf Spring Framework v5.3.18 als Fix für die kritische Sicherheitslücke CVE-2022-22965 - bekannt als Spring4Shell; Weiters wird dringend die Aktualisierung von Apache Tomcat empfohlen
WebOffice Volltextsuche (FTS-Index)
Bezüglich der WebOffice Volltextsuche (FTS-Index) ist die Aussage von Apache Solr: Die Engine verwendet Solr 8.11.1 (Java-basiert), aber es besteht keine Abhängigkeit zum Spring-Framework. Somit ist hier kein Update notwendig.
Bitte folgen Sie diesem Artikel, um über den aktuellen Wissensstand informiert zu sein.
Weitere Informationen zu weiteren VertiGIS Produkten finden Sie hier:
Informationen zur Spring4Shell Schwachstelle CVE-2022-22965 – VertiGIS Support
Aktualisierung 1 - 04.04.2022, 14:00:
- Abschnitt ArcGIS Basistechnologie
- Aktuelle Informationen hinzugefügt
- Abschnitt Volltextsuche (FTS-Index)
- Aktuelle Informationen hinzugefügt
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.