CVE-2022-22965 // Stellungnahme zu Spring4Shell Schwachstelle // Statement on the Latest Spring4Shell Vulnerability

Incident Report for PrimeSign GmbH

Resolved

— English Version see below —

Stellungnahme zu Spring4Shell Schwachstelle (CVE-2022-22965)

Die Stellungnahme bezieht sich auf folgende Produkte der PrimeSign GmbH:

- primesign SIGNATURE SERVER (alle Versionen und Betriebsmodelle)
- primesign Middleware Appliance (alle Versionen)
- primesign SEALING Appliance (alle Versionen)
- primesign RKSV (RKSV remote signing service, alle Versionen und Betriebsmodelle)

- primesign MOBILE (als Online Dienst)
- primesign TRUST CENTER SERVICES (alle Online-Dienste)

Stellungnahme:

Am 30.03.2022 wurde eine als kritisch eingestufte Sicherheitslücke im Software-Framework Spring bekannt [1]. Die Sicherheitslücke erlaubt Angreifern, in speziellen Konstellationen über sogenannte Remote Code Executions, Schadcode auszuführen.

primesign hat am 31.03.2022 die Analyse der eigenen Produkte durchgeführt. Die Analyse und Ergreifung geeigneter Gegenmaßnahmen ist abgeschlossen:

Beim Kunden installierte Produkte der primesign sind NICHT von dieser Sicherheitslücke betroffen.

Die Online Dienste des primesign TRUST CENTERS wurden am 31.03.2022 durch geeignete Maßnahmen gesichert.

[1] https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

PrimeSign GmbH, am 01.04.2022
____________________________________________________________________________________

Statement on the Latest Spring4Shell Vulnerability (CVE-2022-22965)

This statement refers to the following products of PrimeSign GmbH:

- primesign SIGNATURE SERVER (all versions and deployment models)
- primesign Middleware Appliance (all versions)
- primesign SEALING Appliance (all versions)
- primesign RKSV (RKSV remote signing service, all versions and deployment models)

- primesign MOBILE (as online service)
- primesign TRUST CENTER SERVICES (all online services)

Statement:

On March 30th, 2022, a security vulnerability classified as critical was published for the Java software development framework Spring [1]. Under special circumstances the vulnerability allows attackers to execute malicious code via so-called remote code executions.

primesign analyzed its software products on March 31st, 2022. The analysis and the following actions have been completed:

Products from primesign installed with customers are therefore NOT affected by this vulnerability.

The primesign TRUST CENTER online services were successfully secured on March 31st, 2022.

[1] https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

Posted Apr 01, 2022 - 13:34 CEST

This incident affected: primesign RKSV (RKSV remote signing service) and primesign MOBILE (qualified remote signing service).