Achtung! |
Durch regelmäßige Abhängigskeits-Scans in unserer Build-Pipeline wurde ein CVE angezeigt, welcher auf mögliche Lücken Hinwies:
https://nvd.nist.gov/vuln/detail/CVE-2016-1000027
Hersteller-Dokumentation der betroffenen Komponente:
In einer weiteren Analyse lässt sich die Ausnutzung auf die Java Serialisierung zurückführen, im spezifischen Fall wird eine Komponente von Spring (HttpInvoker) angreifbar für eine sogenannte Remote Code Execution.
Dies bedeutet, mit einer präparierter Anfrage deserialisiert Java/Spring das ankommende Binär-Objekt zu einer Java-Klasse welche wenn selbst verändert Mittels Reflection Java-Programmcode ausführt, der Angreifer kann auf dem entfernten Server jegliches Kommando ausführen als Unterprozess vom Serverprozess.
Möglich wird dies in Nuclos dadurch, dass die Kommunikation mit dem Rich-Client über besagte Schnittstelle (Java RMI - Remote Method Invocation) läuft welche über HTTP/HTTPS zu dem Server transportiert wird.
Jeder der Zugriff auf die Remoting Schnittstelle des Nuclos-Servers hat, kann eine solche präparierte Anfrage an den Server senden.
Da die Kommunikation in beider Richtung über die gleiche Implementation/Schnittstelle läuft, könnte auch ein kompromittierter Server an Richclients schadhaften Code verteilen.
Ziel-Url ist zum Beispiel:
<base-server-url>/<application context e.g nuclos>/remoting/ServerMetaService
Ein Update auf Nuclos 4.2023.8 wird dringend empfohlen! |
Mit dieser Version steht erstmalig eine komplett auf das JSON Format umgestellte Remoting Schnittstelle zur Verfügung. Java RMI wird zusätzlich standardmäßig deaktiviert, kann aber mittels des Eintrages remoting.java-rmi.enabled=true in der server.properties wieder aktiviert werden. Achtung, wird vom Installer wieder zurückgesetzt!
Weitere Informationen zur Umstellung finden Sie im Ticket