Log4Shell fue grave, pero algunos expertos creen que la nueva vulnerabilidad Spring4Shell podría ser peor

Hace unos meses, la vulnerabilidad Log4Shell, que afectaba a la librería open source Apache Log4j (y con ella, a casi todas las grandes plataformas web), causó una oleada de preocupación en la industria tecnológica y llegó a provocar una reunión en la Casa Blanca que tomar medidas con respecto al modo en que se estaban planteando el mantenimiento de software crítico para la infraestructura de Internet.

Ahora, una nueva vulnerabilidad ‘zero day’, conocida como ‘Spring4Shell’, acaba de salir a la luz, y algunos expertos afirman que podría tener «un impacto mayor» que el que tuvo Log4Shell en su momento. Bueno, técnicamente se trata de dos vulnerabilidades: ‘Spring4Shell’ propiamente dicha, también conocida como CVE-2022-22965, y una vulnerabilidad menor llamada CVE-2022-22963.

Spring4Shell afecta a las aplicaciones desarrolladas con el framework Spring, creado con el fin de agilizar la creación de software con Java. Como en el caso de Log4Shell, su existencia se hizo pública tras ser descubierta la vulnerabilidad por un investigador de ciberseguridad chino que difundió un exploit de prueba en varios tuits ya eliminados.

The «vulnerable code» in Spring is creating a «deep clone» of an object by serializing and then deserializing it. In Java, any attempts to deserialize an object can result in RCE if an attacker is able to control the data being passed. More info in link https://t.co/J2RA1jd9G4

— LunaSec (@LunaSecIO) March 30, 2022

El framework Spring es usado en el desarrollo de aproximadamente el 74% de las aplicaciones Java

¿Qué dicen los expertos?

Anthony Weems y Dallas Kaman, expertos de la firma de seguridad Pretorian, en declaraciones a Developer Tech, explicaron que,

«En ciertas configuraciones, la explotación de este problema resulta sencilla, ya que sólo requiere que un atacante envíe una solicitud HTTP especialmente diseñada a un sistema vulnerable».

«Sin embargo, la explotación de diferentes configuraciones requeriría que el atacante realizase una investigación adicional para encontrar cargas útiles que resulten efectivas».

Según la investigación publicada por LunaSec, todas las versiones de Spring Core lanzadas antes de conocerse la vulnerabilidad pueden verse afectadas si los usuarios ejecutan JDK 9 o superior.

Desde otra compañía del sector, Contrast Security Labs, afirman que esta vulnerabilidad —que permite al atacante llevar a cabo ataques basados en la ejecución arbitraria de código— podría tener «un impacto mayor que Log4j» debido al modo en que manejan el ‘binding’ las aplicaciones creadas con el mencionado framework (el 74% de las desarrolladas en Java, aunque otras fuentes hablan del 60% o del 86%):

«Recomendamos a los desarrolladores de Java que establezcan específicamente la propiedad de campos permitidos o establezcan correctamente los campos no permitidos para los patrones de ataque malicioso conocidos dentro de la clase DataBinder».

Por fortuna, los desarrolladores de Spring Framework han lanzado ya actualizaciones a las versiones 5.3.18 y 5.2.20 (más información aquí), por lo que los desarrolladores podrán parchear sus frameworks y recompilar las aplicaciones afectadas. Por desgracia, las aplicaciones que se encuentran en producción y sin mantenimiento, seguirán siendo vulnerables.

Fuente info
Autor:

Crucial P3 1TB M.2 PCIe Gen3 NVMe SSD interno - Hasta 3500MB/s - CT1000P3SSD8 Por solo 105,99 € 62,12 €

(4483)

~~105,99 €~~ 62,12 €

Tecnología NVMe (PCIe Gen3 x4) con lecturas secuenciales de hasta 3500 MB/s, lectura/escritura aleatoria 650K/700K IOPS Amplio almacenamiento de hasta 4TB Funciona hasta un 45% mejor que la generación anterior Solid Gen3 performance Calificado en MTT... read more

(a partir de marzo 22, 2023 11:25 GMT +01:00 - )

Pack HP 305 de Instant Ink con 2 cartuchos de tinta Original HP negro y tricolor para usar con el servicio HP Instant Ink Por solo 9,99 € (5,00 € / unidad) 9,15 € (4,58 € / unidad)

(53270)

~~9,99 € (5,00 € / unidad)~~ 9,15 € (4,58 € / unidad)

El Pack HP 305 de Instant Ink es compatible con las siguientes impresoras: HP DeskJet 2710 / 2710e / 2720 / 2720e / 2721 / 2721e / 2722 / 2722e / 2723 / 2723e / 2724 / 4110e / 4120e / 4122e / 4130e, HP DeskJet Plus 4110 / 4120 / 4122 / 4130, HP ENVY ... read more

(a partir de marzo 22, 2023 16:26 GMT +01:00 - )

BMAX Mini Pc 6GB+64GB eMMC Windows 10 Pro Celeron N3350 Fanless Desktop Computerr, 2.4G+5G Dual Band WiFi,HDMI+VGA Doppio Display, 4K HD for Business e Entertainment Mini Computer Micro PC Por solo 139,99 €

(82)

139,99 €

El té a ha bee involucra i micr P fabricando para hombre años Inte Celero N335 i ne versio over asequible an hig quality upgrade microcomputer Multifunction Support Linux Ubuntu NGFF PX boot networ wake RTC slee mode alabado sea eficiente una velocid... read more

(a partir de marzo 22, 2023 14:24 GMT +01:00 - )

Hub USB, Beikell 4 Puertos USB 3.0 Data Hub Ultrafino de Alta Velocidad Concentrador Adaptador USB para Macbook, Mac Pro/Mini, iMac, Surface Pro, XPS, USB Flash Drives, PC Portátil, HDD Móvil, etc. Por solo 11,99 €

(3871)

11,99 €

Hub USB 3.0 de 4 Puertos: Se puede conectar a 4 dispositivos diferentes. Para dispositivos conectados a un hub USB, suministra energía estable. La Velocidad de Transferencia hasta 5Gbps: Transmite video de alta definición en unos segundos, y la veloc... read more

(a partir de marzo 22, 2023 16:25 GMT +01:00 - )

Perlegear Soporte de Pared para TV, el Soporte de Pared para TV para televisores de 10 a 32 Pulgadas de hasta 20 kg, VESA máximo 100x100mm, 75x75mm, 50x50mm Por solo 37,99 € 18,85 €

(11916)

~~37,99 €~~ 18,85 €

DISEÑO COMPACTO - Este soporte de televisión se adapta a la mayoría de los televisores de 10"a 32" que pesen hasta 20kg. Compatible con VESA (patrón de orificios de montaje)100x100mm,75x75mm,50x50mm. Diseño agradable y compacto que muestra una aparie... read more

(a partir de marzo 22, 2023 16:26 GMT +01:00 - )

Apple Ordenador PortáTil MacBook Air (2020): Chip M1, Pantalla Retina de 13 Pulgadas, 8 GB de RAM, SSD de 256 GB, Teclado retroiluminado, cáMara FaceTime HD, Sensor Touch ID, Color Plata Por solo 1.219,00 € 979,00 €

(1420)

~~1.219,00 €~~ 979,00 €

Batería para un día entero. Hasta 18 horas de autonomía en función del uso para tener más libertad que nunca. Gran rendimiento. Puede con todo, desde editar vídeo con calidad profesional hasta echar partidas épicas. El chip M1 de Apple con CPU... read more

(a partir de marzo 22, 2023 17:03 GMT +01:00 - )

Organizador cables, Recoge cables, 3 Pcs. Autoadhesivo de Silicona. Sujeta cables, Organizador de cables escritorio, Hogar, Oficina, Coche, PC, Mouse, TV, USB, Cargador, Audio. Negro Por solo 6,99 €

(3)

6,99 €

🔌 Tu compra incluye 3 soportes (de 3, 5, y 7 espacios respectivamente) que pondrán fin al calvario y desorden de cables en tu hogar, oficina, coche, o cualquier otro sitio. 🔌 Con un adhesivo fuerte y resistente, podrás fijar estos soportes en cualqui... read more

(a partir de marzo 22, 2023 13:25 GMT +01:00 - )

903XL Cartuchos de Tinta 903 Chip de Actualización compatibles con Cartuchos HP 903 XL 903 para HP OfficeJet Pro 6950 HP officejet Pro 6960 HP officejet Pro 6970 (1 Negro/1 Cian/1 Magenta/1 Amarillo) Por solo 32,09 € 30,00 €

(14)

~~32,09 €~~ 30,00 €

colorfly 903 XL Cartuchos de tinta compatibles HP 903XL multipack para tinta hp officejet 6950 Compatibilidad perfecta: colorfly cartuchos de tinta 903XL Multipack Para OfficeJet 6950, para OfficeJet Pro 6960 6970 6961 6963 6965 6968 6974 6975 6976 6... read more

(a partir de marzo 22, 2023 14:24 GMT +01:00 - )

Logitech MK295 Combo de Ratón y Teclado Inalámbricos: Tecnología SilentTouch, Teclado Numérico Completo, Botones de Atajos, Receptor Nano USB, 90 % Menos de Ruido, Disposición QWERTY Español - Blanco Por solo 53,99 € 32,00 €

(1993)

~~53,99 €~~ 32,00 €

TECNOLOGÍA SILENTTOUCH: Este combo de teclado y ratón inalámbrico Logitech MK295 cuenta con sensor óptico avanzado y ofrece la misma experiencia al teclear y hacer clic con un 90% menos de ruido COMODIDAD A LO GRANDE: El teclado incorpora una disposi... read more

(a partir de marzo 22, 2023 12:27 GMT +01:00 - )

Canon Selphy CP1300, Impresora Fotográfica Inalámbrica (Apple AirPrint, Mopria, Pantalla Abatible de 8.1 cm, Tintas de 3 Colores, 300 x 300 ppp), Wifi, USB, Negro Por solo 139,00 € 103,99 €

(6676)

~~139,00 €~~ 103,99 €

Impresiones inalámbricas rápidas desde dispositivos inteligentes gracias a la aplicación Canon Print, MopriaTM, Apple AirPrintTM y el botón Wifi Realiza impresiones vibrantes, duraderas y de excelente calidad en menos de un minuto gracias a la tecnol... read more

(a partir de marzo 22, 2023 16:26 GMT +01:00 - )

Uliptz Auriculares Inalámbricos Bluetooth, 65 Horas de Reproducción, 6 Modos de Sonido EQ, Auriculares Inalámbricos Diadema Estéreo HiFi con Micrófono, Audifonos Bluetooth 5.2 para TV/PC/Teléfono Por solo 29,99 €

(2599)

29,99 €

AUDIO DE ALTA FIDELIDAD: los auriculares Bluetooth Uliptz ofrecen agudos nítidos, medios equilibrados y graves potentes a través de controladores estéreo acústicos de 40 mm. Equipado con 6 modos de ecualización, cambia según la música diferente el so... read more

(a partir de marzo 22, 2023 16:26 GMT +01:00 - )

pullheart Memoria USB 982GB Impermeable Pendrive con Llavero Alta Velocidad Pen Drive USB 3.0 Metal Memory Stick Disco Duro Externo 982GB para Tabletas, PC Por solo 26,99 €

(64)

26,99 €

★Almacenamiento de Datos Extendido de 982GB: Esta unidad de pulgar tiene capacidad para 982 GB de datos masivos, admite casi todos los tipos de almacenamiento de datos, como canciones, fotos, películas, documentos, presentaciones, software, manuales,... read more

(a partir de marzo 22, 2023 14:24 GMT +01:00 - )

Apple 2022 Ordenador Portátil MacBook Air con Chip M2 Pantalla Liquid Retina de 13,6 Pulgadas, 8GB de RAM, 256 GB de Almacenamiento SSD, Teclado retroiluminado, Color Negro Noche Por solo 1.519,00 € 1.249,00 €

(157)

~~1.519,00 €~~ 1.249,00 €

DISEÑO ULTRAFINO – El nuevo MacBook Air solo pesa 1,24 kg y ofrece una portabilidad fuera de serie. Con este ordenador tan versátil podrás trabajar, jugar y desatar tu creatividad allá donde vayas. SUPERPOTENCIADO CON EL CHIP M2 – Haz tus tareas en t... read more

(a partir de marzo 22, 2023 17:03 GMT +01:00 - )

Auriculares Inalámbricos,Auriculares Bluetooth 5.0 HiFi Estéreo,Cascos Inalambricos Bluetooth con Control Táctil,para Android e iOS Por solo 8,99 €

(264)

8,99 €

【Tecnología Bluetooth 5.0 avanzada】 Los auriculares inalámbricos Bluetooth utilizan la tecnología Bluetooth 5.0 más avanzada para proporcionar una conexión más rápida y estable, un sonido más realista y un menor consumo de energía. El diseño estéreo ... read more

(a partir de marzo 22, 2023 13:25 GMT +01:00 - )

ASUS VivoBook Pro 15 OLED M3500QC - Ordenador Portátil 15.6" Full HD (Ryzen 5 5600H, 16GB RAM, 512GB SSD, NVIDIA RTX 3050-4GB, Sin Sistema Operativo) Color Plata - Teclado QWERTY español Por solo 799,00 €

(27)

799,00 €

Pantalla de 15.6" Full HD 1920 x 1080 pixeles OLED Procesador AMD Ryzen 5 5600H (6C/HexaCore 3.3 / 4.2GHz, 16MB) Memoria RAM de 16GB SO-DIMM DDR4 Almacenamiento de 512GB SSD M.2 NVMe PCIe Tarjeta gráfica NVIDIA GeForce RTX 3050 4GB GDDR6 Sin Sistema ... read more

(a partir de marzo 22, 2023 17:03 GMT +01:00 - )

Cable Cargador iPhone, [3Pack 2M] Cable iPhone Carga Rápida Trenzado de Nylon Compatible con iPhone 13 12 11 Pro XS MAX XR X 8 Plus 7 Plus 6S 6 Plus 5 5S 5C SE - Negro Por solo 9,99 €

(16942)

9,99 €

[Carga Rápida y Sincronización]: El cargador iphone está diseñado para ahorrar tiempo, lo que garantiza una velocidad de carga máxima de hasta 5V/2.4A. Transferencia de datos de hasta 480 Mbits a través de USB 2.0. [Duradero Adicional]: Cable Carga i... read more

(a partir de marzo 22, 2023 13:25 GMT +01:00 - )

512GB Micro SD SDXC High Speed Class 10 Transfer Speeds Action Cameras, Phones, Tablets PCs Por solo 21,99 €

21,99 €

Ideal para smartphones y tabletas basadas en Android, cámaras diditales, GPS, MP3 players, teléfonos celulares, GoPro and PDAs Resistente al agua, a prueba de temperatura, a prueba de rayos X, a prueba de agua Great speed and performance for full HD ... read more

(a partir de marzo 22, 2023 12:27 GMT +01:00 - )

HP 250 G8 - Ordenador portátil profesional de 15,6" FullHD (Intel Core i5-1135G7 , 16 GB RAM, 512 GB SSD, Intel Iris X, Windows 10 Pro 64) gris Por solo 799,99 € 748,95 €

(491)

~~799,99 €~~ 748,95 €

Elegante y ligero: el PC portátil HP 250 resulta óptimo para trabajar desde donde necesites, con un diseño fino y elegante; la elegante pantalla con bordes estrechos y una elevada relación pantalla-cuerpo te ofrece un amplio espacio para trabajar o r... read more

(a partir de marzo 22, 2023 16:26 GMT +01:00 - )

Log4Shell fue grave, pero algunos expertos creen que la nueva vulnerabilidad Spring4Shell podría ser peor

¿Qué dicen los expertos?

Crucial P3 1TB M.2 PCIe Gen3 NVMe SSD interno - Hasta 3500MB/s - CT1000P3SSD8 Por solo 105,99 € 62,12 €

Pack HP 305 de Instant Ink con 2 cartuchos de tinta Original HP negro y tricolor para usar con el servicio HP Instant Ink Por solo 9,99 € (5,00 € / unidad) 9,15 € (4,58 € / unidad)

BMAX Mini Pc 6GB+64GB eMMC Windows 10 Pro Celeron N3350 Fanless Desktop Computerr, 2.4G+5G Dual Band WiFi,HDMI+VGA Doppio Display, 4K HD for Business e Entertainment Mini Computer Micro PC Por solo 139,99 €

Hub USB, Beikell 4 Puertos USB 3.0 Data Hub Ultrafino de Alta Velocidad Concentrador Adaptador USB para Macbook, Mac Pro/Mini, iMac, Surface Pro, XPS, USB Flash Drives, PC Portátil, HDD Móvil, etc. Por solo 11,99 €

Perlegear Soporte de Pared para TV, el Soporte de Pared para TV para televisores de 10 a 32 Pulgadas de hasta 20 kg, VESA máximo 100x100mm, 75x75mm, 50x50mm Por solo 37,99 € 18,85 €

Apple Ordenador PortáTil MacBook Air (2020): Chip M1, Pantalla Retina de 13 Pulgadas, 8 GB de RAM, SSD de 256 GB, Teclado retroiluminado, cáMara FaceTime HD, Sensor Touch ID, Color Plata Por solo 1.219,00 € 979,00 €

Organizador cables, Recoge cables, 3 Pcs. Autoadhesivo de Silicona. Sujeta cables, Organizador de cables escritorio, Hogar, Oficina, Coche, PC, Mouse, TV, USB, Cargador, Audio. Negro Por solo 6,99 €

903XL Cartuchos de Tinta 903 Chip de Actualización compatibles con Cartuchos HP 903 XL 903 para HP OfficeJet Pro 6950 HP officejet Pro 6960 HP officejet Pro 6970 (1 Negro/1 Cian/1 Magenta/1 Amarillo) Por solo 32,09 € 30,00 €

Logitech MK295 Combo de Ratón y Teclado Inalámbricos: Tecnología SilentTouch, Teclado Numérico Completo, Botones de Atajos, Receptor Nano USB, 90 % Menos de Ruido, Disposición QWERTY Español - Blanco Por solo 53,99 € 32,00 €

Canon Selphy CP1300, Impresora Fotográfica Inalámbrica (Apple AirPrint, Mopria, Pantalla Abatible de 8.1 cm, Tintas de 3 Colores, 300 x 300 ppp), Wifi, USB, Negro Por solo 139,00 € 103,99 €

Uliptz Auriculares Inalámbricos Bluetooth, 65 Horas de Reproducción, 6 Modos de Sonido EQ, Auriculares Inalámbricos Diadema Estéreo HiFi con Micrófono, Audifonos Bluetooth 5.2 para TV/PC/Teléfono Por solo 29,99 €

pullheart Memoria USB 982GB Impermeable Pendrive con Llavero Alta Velocidad Pen Drive USB 3.0 Metal Memory Stick Disco Duro Externo 982GB para Tabletas, PC Por solo 26,99 €

Apple 2022 Ordenador Portátil MacBook Air con Chip M2 Pantalla Liquid Retina de 13,6 Pulgadas, 8GB de RAM, 256 GB de Almacenamiento SSD, Teclado retroiluminado, Color Negro Noche Por solo 1.519,00 € 1.249,00 €

Auriculares Inalámbricos,Auriculares Bluetooth 5.0 HiFi Estéreo,Cascos Inalambricos Bluetooth con Control Táctil,para Android e iOS Por solo 8,99 €

ASUS VivoBook Pro 15 OLED M3500QC - Ordenador Portátil 15.6" Full HD (Ryzen 5 5600H, 16GB RAM, 512GB SSD, NVIDIA RTX 3050-4GB, Sin Sistema Operativo) Color Plata - Teclado QWERTY español Por solo 799,00 €

Cable Cargador iPhone, [3Pack 2M] Cable iPhone Carga Rápida Trenzado de Nylon Compatible con iPhone 13 12 11 Pro XS MAX XR X 8 Plus 7 Plus 6S 6 Plus 5 5S 5C SE - Negro Por solo 9,99 €

512GB Micro SD SDXC High Speed Class 10 Transfer Speeds Action Cameras, Phones, Tablets PCs Por solo 21,99 €

HP 250 G8 - Ordenador portátil profesional de 15,6" FullHD (Intel Core i5-1135G7 , 16 GB RAM, 512 GB SSD, Intel Iris X, Windows 10 Pro 64) gris Por solo 799,99 € 748,95 €

Entradas recientes

Categorías