Statement der FOCONIS

ZAK in der Version 2 ist von den Sicherheitslücken nicht betroffen.

FOCONIS-PRO und die auf Notes/Domino basierenden Anwendungen sind von den Sicherheitslücken nicht betroffen.

enfoxx^® ist von den Sicherheitslücken nicht betroffen.

Nach eingehender Analyse ihres Software-Angebots kommt die FOCONIS AG hinsichtlich der jüngst gemeldeten Sicherheitslücken im Spring Framework (CVE-2022-22963 und CVE-2022-22965) zu folgendem Ergebnis:

• Die Sicherheitslücke CVE-2022-22963 betrifft die „Spring Cloud“–Komponente. Diese kommt grundsätzlich in der von der FOCONIS angebotenen Software nicht zum Einsatz.
• Die Sicherheitslücke CVE-2022-22965 ist in Foconis-ZAK^® 3 sowie im Foconis-ZAK^® Compliance Portal nicht ausnutzbar (siehe technische Analyse weiter unten).
• Nach derzeitigem Kenntnisstand (siehe Datumsvermerk oben) besteht für Anwenderinnen und Anwender der Software der FOCONIS AG keine Gefahr.

Da die Sicherheitslücke CVE-2022-22965 sehr komplex ist und möglicherweise noch nicht alle Angriffsvektoren bekannt sind, hat sich die FOCONIS dazu entschieden, bis Freitag, 08.04.2022, eine aktualisierte Version von Foconis-ZAK^® 3 zur Verfügung zu stellen.

CVE-2022-22963

Remote code execution in Spring Cloud Function by malicious Spring Expression

Details: https://tanzu.vmware.com/security/cve-2022-22963

Diese Lücke betrifft „Spring Cloud“. Diese kommt in den Produkten der FOCONIS nicht zum Einsatz.

CVE-2022-22965

Spring Framework RCE via Data Binding on JDK 9+
Details: https://tanzu.vmware.com/security/cve-2022-22965

Wie in diesem Artikel beschrieben, ist die Lücke nur ausnutzbar, wenn @ModelAttribute verwendet wurde. Dies wird in Foconis-ZAK^® 3 nicht eingesetzt, weshalb wir zu dem Schluss kommen, dass die Lücke nicht ausgenutzt werden kann.