Spring4Shell Sicherheitslücke
MOUNT10 Backup-Client / CLOUD 2 CLOUD sind nicht betroffen
Unser Lieferant Redstor hat in einer Kommunikation am 21.04.22 bestätigt, dass die eingesetzte Backup-Software von MOUNT10, Redstor ESE und das Online Portal «CLOUD 2 CLOUD» von der Spring4Shell Sicherheitslücke nicht betroffen sind:
“Sehr geehrter Kunde,
am 31. März 2022 wurde eine Sicherheitslücke im Spring Framework enthüllt. Weitere Details zu dieser Sicherheitslücke finden Sie hier.
Redstor kann nach der Bewertung der Auswirkungen dieser Schwachstelle bestätigen, dass die Produkte nicht von den bekannten Schwachstellen im Zusammenhang mit Spring4Shell (CVE-2022-22965) betroffen sind. Diese Feststellung basiert darauf, dass die Schwachstelle eine Anwendung erfordert, die auf Apache Tomcat läuft, was kein Anwendungsfall oder eine Konfiguration ist, die von Redstor verwendet wird.
Darüber hinaus wurde festgestellt, dass der Redstor ESE-Agent zwar einige der betroffenen Bibliotheken enthält, wir uns aber in Übereinstimmung mit der Best Practice entschieden haben, auf Spring Framework 5.3.18 zu aktualisieren, was die bekannte Schwachstelle behebt.
Wir freuen uns ankündigen zu können, dass Redstor ESE Version 22.4.11.18121 die aktualisierte Version der betroffenen Bibliotheken enthalten wird. Die entsprechende Version befindet sich derzeit in der Testphase und wird spätestens Ende Mai 2022 veröffentlicht.”
Spring4Shell vulnerability
MOUNT10 Backup-Client / CLOUD 2 CLOUD are not affected
Our supplier Redstor has confirmed in a communication on 21.04.2022 that the backup software used by MOUNT10, Redstor ESE and the online portal “CLOUD 2 CLOUD” are not affected by the Spring4Shell security vulnerability:
“Dear Customer,
On the 31st March 2022, a vulnerability within the Spring Framework was disclosed. Further detail regarding this vulnerability can be found here.
Redstor can confirm having assessed the impact associated with this vulnerability that it is not affected by any known vulnerabilities relating to Spring4Shell (CVE-2022-22965). This determination was based on the vulnerability requiring an application to be running on Apache Tomcat which is not a use case or configuration that is in use by Redstor.
Furthermore, it was determined that whilst the Redstor ESE agent does include the some of the affected libraries we have taken the decision, in line with best practice, to upgrade to Spring framework 5.3.18 which remediates the known vulnerability.
We are pleased to announce that Redstor ESE version 22.4.11.18121 will contain the upgraded version of the affected libraries. The release is currently in preview and will be made generally available by the end of May 2022.”