Salta al contenuto
News

Kritische (DoS-)Schwachstellen in Spring-Produkten behoben: Sofortmaßnahmen erforderlich

Kritische (DoS-)Schwachstellen in Spring-Produkten behoben: Sofortmaßnahmen erforderlich

Das ACN / CSIRT Italia hat eine Warnung (AL07/260608/CSIRT-ITA) herausgegeben, in der die Behebung zweier hochkritischer Sicherheitsschwachstellen in Spring-Produkten, insbesondere in der Micrometer-Bibliothek, gemeldet wird. Die am 8. Juni 2026 veröffentlichte Mitteilung unterstreicht die Wichtigkeit der Anwendung der bereitgestellten Updates, um erhebliche Risiken im Zusammenhang mit diesen Schwachstellen zu mindern.

Die Schwachstellen betreffen Micrometer, eine Metrik-Sammlungsbibliothek, die im Open-Source Java Spring Framework verwendet wird, und sind vom Typ Denial of Service (DoS). Betroffene Versionen umfassen verschiedene Iterationen von Micrometer (1.16.x, 1.15.x, 1.14.x, 1.13.x, 1.9.x), micrometer-core, micrometer-jetty11 und micrometer-jetty12, die alle vor spezifischen Patches liegen (z.B. 1.16.6, 1.15.12). Sie wurden mit den Codes CVE-2026-40983 und CVE-2026-40984 identifiziert, wobei die Sicherheitsbulletins auf der Spring-Website verfügbar sind.

Die Behebung von „hochkritischen“ Schwachstellen, insbesondere von DoS-Schwachstellen, ist für alle Organisationen, die Spring- und Micrometer-Produkte verwenden, von entscheidender Bedeutung. Ein DoS-Angriff kann den Betrieb lahmlegen, wesentliche Dienste, Websites oder kritische Anwendungen unzugänglich machen, was zu finanziellen Verlusten, Reputationsschäden und SLA-Verletzungen führen kann. Für Unternehmen, die personenbezogene Daten verarbeiten, kann die Nichtverfügbarkeit von Systemen die Bereitstellung von Diensten und indirekt den Datenschutz und die Rechte der betroffenen Personen beeinträchtigen, selbst wenn es sich nicht um eine direkte Verletzung der Vertraulichkeit handelt.

Obwohl der Text weder die DSGVO noch NIS2 erwähnt, ist das proaktive Management von Software-Schwachstellen eine grundlegende Anforderung für die Compliance in den Bereichen Datenschutz und Cybersicherheit. Organisationen müssen geeignete technische und organisatorische Maßnahmen implementieren, um die Sicherheit der Verarbeitungen und die Widerstandsfähigkeit der Systeme zu gewährleisten. Die Nichtanwendung von Patches für bekannte und hochkritische Schwachstellen kann als Mangel an Sorgfaltspflicht betrachtet werden, mit möglichen Auswirkungen auf Haftung und Sanktionen, insbesondere für Entitäten, die in den Anwendungsbereich von NIS2 fallen.

ACN / CSIRT Italia empfiehlt das umgehende Update der anfälligen Micrometer- und Spring-Produkte gemäß den Anweisungen der offiziellen Spring-Sicherheitsbulletins.

  • Identifizieren Sie anfällige Instanzen in der Umgebung.
  • Planen und wenden Sie die Updates gemäß den Richtlinien des Anbieters an.
  • Überprüfen Sie die tatsächliche Behebung nach dem Update.
  • Pflegen Sie einen kontinuierlichen Überwachungsprozess für neue Schwachstellen und Patches.

Zum Originalartikel auf ACN / CSIRT Italia ↗

Lesen Sie auch