Threats

Centro Nacional de Cibersegurança lança três alertas de vulnerabilidades

Vulnerabilidades no GitLab, no Spring Framework e Spring Cloud Function motivaram o lançamento de um alerta por parte do Centro Nacional de Cibersegurança

07/04/2022

Centro Nacional de Cibersegurança lança três alertas de vulnerabilidades

O Centro Nacional de Cibersegurança lançou esta semana três alertas de vulnerabilidades diferentes. O primeiro diz respeito ao Spring Cloud Function, nas suas versões 3.1.6, 3.2.2 e anteriores; outra é referente ao Spring Framework, nas versões 5.3.0 a 5.3.171, 5.2.0 a 5.2.19 e anteriores; e, por fim, ao GitLab CE/EE versões anteriores a 14.7.7, 14.8.5 e 14.9.2.

Sobre o primeiro dos alertas, o CNCS escreve que “foi publicada uma atualização de segurança na Spring Cloud Function para mitigar uma vulnerabilidade crítica de Execução de Código Remoto (RCE) (CVE-2022-22963). Quando se utiliza a ‘routing functionality’, um utilizador pode injetar uma Spring Expression Language (SpEL) específica como ‘routing-expression’, que pode resultar na execução remota de código e acesso a recursos locais”. O Centro Nacional de Cibersegurança recomenda “a atualização para as versões Spring Cloud Function 3.1.7 e Spring Cloud Function 3.2.3” e leitura do relatório de segurança da VMware

O segundo alerta diz respeito ao Spring Framework e o Centro Nacional de Cibersegurança escreve que “a exploração da vulnerabilidade”, que descreve como “crítica de Execução de Código Remoto”, implica que as aplicações Spring MVC e Spring WebFlux corram em JDK 9+ e em Apache Tomcat como uma implementação WAR. “Caso esta vulnerabilidade seja explorada com sucesso, permite ao atacante a execução de código arbitrário”, refere o CNCS.

Para mitigar a vulnerabilidade CVE-2022-22965, “recomenda-se a atualização para as versões Spring Framework 5.3.18+ e Spring Framework 5.2.20+. Para versões mais antigas e sem suporte, é recomendada a atualização do Apache Tomcat para as versões 10.0.20, 9.0.62 ou 8.5.78 e a aplicação das mitigações mencionadas. Foi disponibilizada uma ferramenta de deteção da vulnerabilidade”. Também se aconselha a leitura do relatório de segurança da VMware.

Por fim, o CNCS alerta que foram “publicadas atualizações de segurança da GitLab Community Edition (CE) e Enterprise Edition (EE) para correção de 17 vulnerabilidades, entre elas uma vulnerabilidade crítica (CVE-2022-1162) relacionada ao conjunto de palavras-passe codificadas durante o registo baseado na OmniAuth”.

O Centro Nacional de Cibersegurança indica que, caso esta vulnerabilidade seja explorada com sucesso, permite que um atacante remoto tenha acesso a contas de utilizadores e recomenda a “atualização para as versões GitLab CE/EE 14.9.2, 14.8.5 e 14.7.7”. A GitLab disponibilizou, ainda, um script para identificar utilizadores potencialmente impactados.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº20 Outubro 2024

IT SECURITY Nº20 Outubro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.