VMware มีการอัปเดตแพตช์ช่องโหว่ให้โปรเจ็คโอเพ่นซอร์สของตน 2 รายการ ทั้งนี้นอกจากจะเป็นช่องโหว่ที่ร้ายแรงและมีการเปิดเผยโค้ดสาธิตมาแล้ว ยังมีความสับสนในเรื่องชื่อเรียกอีกด้วย
VMware Spring เป็นโปรเจ็คโอเพ่นซอร์สที่เป็นเครื่องมือช่วยสร้างแอปพลิเคชัน Java และแอปแบบคลาวด์โดยผู้ใช้ไม่ต้องไม่ต้องมาจัดการส่วนเซิร์ฟเวอร์เอง อย่างไรก็ดีโปรเจ็ค Spring มีขนาดใหญ่มาก จึงมีองค์ประกอบภายในหลายส่วน สำหรับการอัปเดตช่องโหว่ใหม่เมื่อวานจาก VMware มีดังนี้
1.) CVE-2022-22963 เกิดขึ้นกับส่วน Spring Cloud Function ซึ่งเป็นเพียงโมดูลทางเลือกสำหรับการเขียนโค้ดเท่านั้น ทั้งนี้ HTTP Header ที่ถูกส่งเข้ามายัง Spring Cloud ดันสามารถถูกใช้เพื่อลอบรันโค้ดได้จากแฮ็กเกอร์ (Remote Code Execution) ความน่ากังวลคือมีการปล่อยโค้ดสาธิตออกมาแล้ว แต่เคราะห์ดีเพียงแค่ผู้ใช้อัปเดตโมดูลเป็นเวอร์ชัน 3.1.7 หรือ 3.2.3 ก็สามารถป้องกันตนเองได้แล้ว
2.) CVE-2022-22965 ประเด็นของช่องโหว่นี้ที่ทำให้เกิดความสับสนคือมีการตั้งชื่อเรียกว่า ‘Spring4shell’ ซึ่งไปคล้ายกับ Log4Shell ที่เป็นช่องโหว่ชื่อดังเมื่อปีก่อนและกระทบกับผลิตภัณฑ์อย่างมาก แต่อันที่จริงแล้วทั้งสองไม่ได้เกี่ยวข้องกันอย่างใด อีกประเด็นที่ยังถกเถียงกันอยู่คือ CVE-2022-22965 เป็นช่องโหว่ที่ร้ายแรงแต่ก็ใช้ไม่ง่ายเพราะต้องมีเงื่อนไขหลายอย่าง เช่น มีการใช้ Web Application Archive (WAR) แทนที่จะเป็น Java Archive (JAR) เป็นต้น
โดย CVE-2022-22965 เกิดขึ้นใน Spring Framework ที่นำไปสู่การลอบรันโค้ด ซึ่งท่านสามารถอัปเดตเป็นเวอร์ชัน 5.2.20 และ 5.3.18 และเนื่องจาก Spring Boot มีการใช้ Spring Framework เข้ามาทำให้ท่านที่ใช้ Spring Boot ต้องแพตช์เป็น 2.5.12 หรือ 2.6.6 ด้วยเพื่อแก้ไขช่องโหว่ Sping4shell นี้
ติดตามข้อมูลจาก VMware ได้ที่ https://tanzu.vmware.com/security/cve-2022-22965
ที่มา : https://nakedsecurity.sophos.com/2022/03/31/two-different-vmware-spring-bugs-at-large-we-cut-through-the-confusion/ และ https://redmondmag.com/articles/2022/03/31/vmware-confirms-zero-day-vulnerability.aspx