Dear Ladies and gentlemen,

From the current perspective, there is no urgent need for action with MOA-ID E-ID Proxy concerning the 'Spring4Shell' vulnerabilities CVE-2022-22965.

Although the corresponding library is included in the MOA-ID E-ID Proxy, the MOA-ID E-ID Proxy is not affected by CVE-2022-22965 from a current perspective because not all of the conditions required for an attack are applied. In detail, the MOA-ID E-ID Proxy uses the @RequestMapping annotation but no @ModelAttribute annotation to process the request parameters. According to the Spring-MVC documentation, all parameters processed in the MOA-ID E-ID Proxy via @RequestMapping are SimpleTypes and should not be processed via the compromisable Spring DataMapper.

Since there are already actively used exploits in circulation for the RCE described in CVE-2022-22965, we have nevertheless decided to publish an updated version of the MOA-ID E-ID Proxy, which updates the Java Spring Framework to version 5.3.18 and accordingly (see https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement) is considered secured. The new version 4.2.1 of MOA-ID is available for download on JoinUp: https://joinup.ec.europa.eu/collection/e-government-innovation-center-egiz/solution/moa-id/release/421

Kind regards,
The EGIZ Team

 

* * *

 

S.g. Damen und Herren,

Aus aktueller Sicht besteht bei MOA-ID E-ID Proxy kein akuter Handlungsbedarf bezüglich der Spring4Shell genannten Vulnerability CVE-2022-22965.

Obwohl im MOA-ID E-ID Proxy die entsprechende Bibliothek inkludiert ist, ist der MOA-ID E-ID Proxy aus aktueller Sicht nicht von CVE-2022-22965 betroffen da nicht alle für einen erfolgreichen Angriff erforderlichen Gegebenheiten zutreffen. Im Detail verwendet der MOA-ID E-ID Proxy zwar die @RequestMapping Annotation jedoch keine @ModelAttribute Annotation zur Verarbeitung der Requestparameter. Alle im MOA-ID E-ID Proxy via @RequestMapping verarbeiteten Parameter sind SimpleTypes entsprechend der Spring-MVC Dokumentation und sollten somit nicht über den kompromittierbaren Spring DataMapper verarbeitet werden.

Da für den in CVE-2022-22965 beschriebenen RCE bereits aktiv verwendete Exploids im Umlauf sind haben wir uns dennoch entschlossen eine aktualisierte Version des MOA-ID E-ID Proxy zu veröffentlichen welche das Java Spring Framework auf die Version 5.3.18 aktualisiert und entsprechend https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement als abgesichert gilt. Die neue Version 4.2.1 von MOA-ID steht auf JoinUp zum Download bereit: https://joinup.ec.europa.eu/collection/e-government-innovation-center-egiz/solution/moa-id/release/421

Mit freundlichen Grüßen,
Ihr EGIZ Team