Centro Nacional de Cibersegurança lança três alertas de vulnerabilidades

on terça, 12 abril 2022. Posted in Cibersegurança, Web

Vulnerabilidades no GitLab, no Spring Framework e Spring Cloud Function motivaram o lançamento de um alerta por parte do Centro Nacional de Cibersegurança.

O Centro Nacional de Cibersegurança lançou esta semana três alertas de vulnerabilidades diferentes. O primeiro diz respeito ao Spring Cloud Function, nas suas versões 3.1.6, 3.2.2 e anteriores; outra é referente ao Spring Framework, nas versões 5.3.0 a 5.3.171, 5.2.0 a 5.2.19 e anteriores; e, por fim, ao GitLab CE/EE versões anteriores a 14.7.7, 14.8.5 e 14.9.2.

Sobre o primeiro dos alertas, o CNCS escreve que “foi publicada uma atualização de segurança na Spring Cloud Function para mitigar uma vulnerabilidade crítica de Execução de Código Remoto (RCE) (CVE-2022-22963). Quando se utiliza a ‘routing functionality’, um utilizador pode injetar uma Spring Expression Language (SpEL) específica como ‘routing-expression’, que pode resultar na execução remota de código e acesso a recursos locais”. O Centro Nacional de Cibersegurança recomenda “a atualização para as versões Spring Cloud Function 3.1.7 e Spring Cloud Function 3.2.3” e leitura do relatório de segurança da VMware.

O segundo alerta diz respeito ao Spring Framework e o Centro Nacional de Cibersegurança escreve que “a exploração da vulnerabilidade”, que descreve como “crítica de Execução de Código Remoto”, implica que as aplicações Spring MVC e Spring WebFlux corram em JDK 9+ e em Apache Tomcat como uma implementação WAR. “Caso esta vulnerabilidade seja explorada com sucesso, permite ao atacante a execução de código arbitrário”, refere o CNCS.

Para mitigar a vulnerabilidade CVE-2022-22965, “recomenda-se a atualização para as versões Spring Framework 5.3.18+ e Spring Framework 5.2.20+. Para versões mais antigas e sem suporte, é recomendada a atualização do Apache Tomcat para as versões 10.0.20, 9.0.62 ou 8.5.78 e a aplicação das mitigações mencionadas. Foi disponibilizada uma ferramenta de deteção da vulnerabilidade”. Também se aconselha a leitura do relatório de segurança da VMware.

Por fim, o CNCS alerta que foram “publicadas atualizações de segurança da GitLab Community Edition (CE) e Enterprise Edition (EE) para correção de 17 vulnerabilidades, entre elas uma vulnerabilidade crítica (CVE-2022-1162) relacionada ao conjunto de palavras-passe codificadas durante o registo baseado na OmniAuth”.

O Centro Nacional de Cibersegurança indica que, caso esta vulnerabilidade seja explorada com sucesso, permite que um atacante remoto tenha acesso a contas de utilizadores e recomenda a “atualização para as versões GitLab CE/EE 14.9.2, 14.8.5 e 14.7.7”. A GitLab disponibilizou, ainda, um script para identificar utilizadores potencialmente impactados.

Fonte: IT Security

Este site utiliza cookies para otimizar a sua experiência. Ao continuar a navegar neste site, está a concordar com o uso destes cookies. Saber mais. OK

Centro Nacional de Cibersegurança lança três alertas de vulnerabilidades

Categorias do Blog

Transforme-se numa Empresa Inteligente!

Pendular Serviços a Empresas // Vitor Ribeiro Gomes (CEO)

Proóptica // Dr. Luís Justino (Diretor Geral)

Quinta Frio Internacional // Dr. António Cesário (Diretor Financeiro)

Fritoforno // Dr. Nuno Jerónimo (Gerente)

Best Travel (Gecontur) // Carlos Neves (Administrador)

Margem Bruta // Paulo Ribeiro (Gerente)

Samsung Electrónica Portuguesa // Dr.ª Alice Moreira (Recursos Humanos)

Ruela Equipamentos // Maria Antónia Ruela (Gerente)

Carristur // Dr. Nelson Marques (Director Financeiro)