È la Giornata mondiale del backup! Ecco come puoi proteggere i tuoi file

Read Time:4 Minute, 52 Second

Facciamo un gioco. Vai all’app Foto sul tuo telefono e guarda il numero totale di video e immagini presenti sul tuo dispositivo: preziosi ricordi delle tue vacanze in famiglia, clip del tuo concerto preferito e le innumerevoli istantanee del tuo compagno peloso. Adesso vai sul computer portatile o desktop e controlla quanti documenti hai in archivio: probabilmente tutte le relazioni di ricerca che hai salvato per sostenere la tua tesi di laurea o un’importante presentazione che devi consegnare al tuo capo lunedì. Se dovessi tirare a indovinare, diresti che il numero totale di tutti questi vari dati è nell’ordine delle migliaia? Ora immagina se tutti questi dati scomparissero improvvisamente. Cosa faresti?

Magari stai pensando: “Questo non succederà mai a me.” In realtà, questa situazione è più comune di quanto si pensi. Solo nel corso di quest’anno, più di 60 milioni di computer si guasteranno in tutto il mondo e oltre 200.000 smartphone verranno smarriti o rubati. Ecco perché celebriamo la Giornata mondiale del backup illustrandoti come puoi eseguire correttamente il backup dei tuoi file e avere la tranquillità di sapere che i tuoi dati sono sani e salvi.

Cosa sono i backup e perché sono importanti?

Un backup è una copia separata dei tuoi file e delle tue informazioni digitali importanti e a cui tieni sentimentalmente. Memorizzare tutti quei dati in un’unica posizione, come un personal computer o uno smartphone, può rivelarsi pericoloso. La creazione di un’altra copia di quei dati tramite un backup garantirà che vengano conservati e tenuti al sicuro da qualche altra parte nel caso in cui il tuo dispositivo venga cancellato o rubato.

È importante rendersi conto che la perdita di dati non è qualcosa che accade solo alle grandi aziende o alle vittime ignare dei film di spionaggio. Siamo tutti suscettibili di perdita o furto di dati e il backup costituisce un facile accorgimento per proteggere tutte le nostre informazioni e impedire ai criminali informatici di prendere ciò che non è loro.

Informazioni di base sull’archiviazione dei dati

I dati sono una delle risorse più importanti nel mondo moderno. Come abbiamo detto in precedenza, le persone accumulano innumerevoli file che contengono informazioni preziose che vogliono tenere al sicuro. Fortunatamente, ci sono due modi comuni e poco costosi in cui si possono conservare i propri dati e i relativi backup che diventano sempre più importanti.

Archiviazione nel cloud

Anche se “il cloud” è diventato un termine in voga da qualche anno, la sua definizione rimane tuttora piuttosto nebulosa per alcune persone. Il cloud esiste in data center remoti ai quali si può accedere via Internet. Tutti i dati che hai caricato nel cloud si trovano su server dedicati e su volumi di archiviazione ospitati in luoghi lontani dove generalmente risiedono altri centri dedicati a questa funzione. I data center sono di proprietà dei fornitori di servizi cloud, i quali sono responsabili di mantenere i server attivi e funzionanti.

Per mantenere i tuoi dati fisicamente al sicuro dal furto e dalla distruzione, e per assicurarsi che siano disponibili ogni volta che desideri accedervi, i data center gestiscono grandi sistemi di raffreddamento per evitare il surriscaldamento dei componenti elettronici e dispongono di almeno un generatore di riserva in caso di interruzioni di corrente. Ma come si assicurano che questi dati siano sicuri nella cybersfera? I sistemi cloud utilizzano processi di autenticazione come nomi utente e password per limitare l’accesso, oltre alla crittografia dei dati per proteggerli in caso di furto o intercettazione. È importante ricordare però che le password possono essere violate. Di solito, il fornitore di servizi detiene le chiavi di crittografia dei dati, il che significa che dipendenti disonesti potrebbero, in teoria, accedervi. Allo stesso modo, i dati potrebbero anche essere potenzialmente ricercati e sequestrati da enti dello stato.

Questo fa sorgere la domanda: fidarsi o non fidarsi? Poiché la loro attività dipende dalla loro reputazione, le aziende di archiviazione cloud fanno di tutto per utilizzare le tecniche di sicurezza più avanzate e fornire il servizio più affidabile possibile. Per contribuire a garantire la sicurezza dei tuoi dati nel caso tu scelga di archiviare o eseguire il backup nel cloud, tieni tutto ciò che è veramente sensibile in un cloud privato protetto da un firewall.

Disco rigido esterno

Con un disco rigido esterno puoi eseguire manualmente il backup di tutti i tuoi dati e file su un dispositivo fisico a cui puoi accedere in qualsiasi momento. Queste unità costituiscono un modo affidabile per ottenere la ridondanza dei dati. Un disco rigido esterno non dipende dall’accesso a Internet come i servizi basati sul cloud e rappresenta una soluzione comoda quando occorre trasferire i dati su un nuovo dispositivo. L’utilizzo di dischi rigidi esterni, tuttavia, richiede un approccio più pratico per il backup dei dati. È tua responsabilità eseguire regolarmente i backup e conservare il disco rigido in un luogo sicuro. Mentre le soluzioni cloud offrono enormi quantità di spazio di archiviazione, quello disponibile sui dischi rigidi è limitato, quindi potrebbe essere necessario acquistare più di un dispositivo. Cerca un disco esterno con almeno un terabyte di spazio per ospitare tutti i tuoi dati, che tendono ad accumularsi rapidamente.

Inizia le pulizie di primavera digitali

Così come pulisci il tuo garage e riordini la tua casa, fai un po’ di pulizie di primavera digitali in questa Giornata mondiale del backup. Dai una bella ripulita ai tuoi dispositivi, alle app e agli account online e aumenta la tranquillità sapendo che tutti i tuoi dati preziosi sono conservati in un luogo sicuro e protetto… e che disponi di un backup nel caso qualcosa vada storto. Ricorda, la proattività è fondamentale per rafforzare la tua sicurezza informatica e la protezione delle tue informazioni.

The post È la Giornata mondiale del backup! Ecco come puoi proteggere i tuoi file appeared first on McAfee Blog.

Read More

É o Dia Mundial do Backup! Veja como pode proteger os seus ficheiros

Read Time:4 Minute, 51 Second

Vamos jogar um jogo. Abra a aplicação Fotos no seu telefone e veja o número total de vídeos e imagens no seu dispositivo: todas essas recordações valiosas das férias em família, vídeos do seu concerto favorito e os inúmeros instantâneos do seu animal de estimação. Em seguida, abra o seu computador portátil ou de secretária e veja quantos documentos guardou. Talvez todos os relatórios de investigação que conservou para defender a sua tese de pós-graduação ou uma apresentação de diapositivos importante que vai apresentar ao seu chefe na segunda-feira. Se tentasse adivinhar, diria que são milhares de dados? Agora imagine se todos estes dados desaparecessem de repente. O que faria?

Pode estar a refletir: “Isso nunca me aconteceria.” No entanto, esta situação é mais comum do que pensa. Mais de 60 milhões de computadores irão falhar em todo o mundo este ano. Além disso, perdem-se ou são roubados mais de 200 000 smartphones todos os anos. Por isso estamos a celebrar o Dia Mundial do Backup! Indicamos como pode criar cópias de segurança dos seus ficheiros e ter a tranquilidade de saber que os seus dados estão sãos e salvos.

O que são cópias de segurança e por que são importantes?

Uma cópia de segurança é uma cópia separada dos seus ficheiros e informações digitais importantes e sentimentais. O armazenamento de todos estes dados num único local, como um computador pessoal ou smartphone, pode não ser seguro. A criação de outra cópia desses dados como backup garante que os seus dados são guardados em segurança noutro local em caso de roubo ou falha do seu dispositivo.

É importante reconhecer que a perda de dados não é algo que apenas acontece a grandes empresas ou a vítimas incautas em filmes de espionagem. Todos podem sofrer a perda ou roubo de dados e a cópia de segurança é um modo fácil de proteger todas as suas informações e evitar que os cibercriminosos levem o que não lhes pertence.

Tutorial de armazenamento de dados

Os dados são um dos bens mais importantes do mundo moderno. Como ilustrámos anteriormente, as pessoas reúnem inúmeros ficheiros que contêm informações valiosas que querem manter em segurança. Felizmente, existem duas formas fáceis e baratas de armazenar os seus dados e as suas importantes cópias de segurança.

Armazenamento na nuvem

Apesar de “a nuvem” ter se tornado uma palavra de moda nos últimos anos, a sua definição ainda é nebulosa para algumas pessoas. A nuvem existe em centros de dados remotos a que se pode aceder através da Internet. Quaisquer dados que tenha carregado na nuvem existem em servidores dedicados e unidades de armazenamento alojados em armazéns longínquos, muitas vezes situados em complexos cheios desses armazéns. Os centros de dados são propriedade de fornecedores de serviços na nuvem, que são responsáveis por manter os servidores em funcionamento.

Para manter os seus dados fisicamente seguros contra roubo e destruição, e para ter a certeza de que estão disponíveis sempre que quiser aceder aos mesmos, os centros de dados utilizam sistemas de refrigeração extensivos para evitar o sobreaquecimento dos sistemas eletrónicos e têm pelo menos um gerador de reserva em caso de falhas de energia. Mas como garantem que estes dados estão seguros no ciberespaço? Os sistemas de nuvem utilizam processos de autenticação, como nomes de utilizador e palavras-passe, para limitar o acesso e encriptação de dados para proteger os dados contra roubo ou interceção. No entanto, é importante lembrar que as palavras-passe podem ser pirateadas. Normalmente, o fornecedor de serviços detém as chaves de encriptação dos seus dados, o que significa que algum empregado desonesto poderia, teoricamente, aceder aos mesmos. Da mesma forma, os seus dados poderiam também ser potencialmente pesquisados e apreendidos por entidades governamentais.

Isto levanta a questão: confiar ou não confiar? Como as empresas de armazenamento na nuvem sobrevivem segundo a sua reputação, pode ter a certeza de que se esforçam ao máximo por utilizar as técnicas de segurança mais avançadas e fornecer o serviço mais fiável possível. Para ajudar a garantir a segurança dos seus dados, caso opte por armazená-los ou criar a sua cópia de segurança na nuvem, mantenha quaisquer dados verdadeiramente confidenciais numa nuvem privada protegida por uma firewall.

Disco rígido externo

Com um disco rígido externo, pode criar manualmente uma cópia de segurança de todos os seus dados e ficheiros para um dispositivo físico ao qual pode aceder em qualquer momento. Estas unidades são uma forma fiável de conseguir a redundância de dados. Um disco rígido externo não depende do acesso à Internet como os serviços baseados na nuvem. É uma solução fácil de transferir dados para um novo dispositivo. No entanto, a utilização de discos rígidos externos requer uma abordagem mais prática para criar uma cópia de segurança dos seus dados. É sua responsabilidade criar regularmente cópias de segurança e guardar o seu disco rígido num local seguro. Enquanto as soluções de nuvem oferecem enormes quantidades de armazenamento, o espaço de armazenamento em discos rígidos é limitado e poderá ser necessário comprar mais do que um dispositivo. Procure um disco externo com pelo menos um terabyte de espaço para alojar todos os seus dados, que costumam acumular-se rapidamente.

Comece a sua limpeza digital de primavera

Quando limpar a sua garagem e arrumar a sua casa, tenha o mesmo cuidado de fazer alguma limpeza digital de primavera neste Dia Mundial do Backup. Dê aos seus dispositivos, aplicações e contas online uma boa limpeza e ganhe tranquilidade ao saber que todos os seus dados valiosos estão armazenados num local seguro… E que tem uma cópia de segurança no caso de algo correr mal. Lembre-se: seja proativo para reforçar a sua cibersegurança e proteger as suas informações.

The post É o Dia Mundial do Backup! Veja como pode proteger os seus ficheiros appeared first on McAfee Blog.

Read More

Es el Día Mundial de las Copias de Seguridad. Aprenda a conservar sus archivos

Read Time:5 Minute, 16 Second

Juguemos a un juego. Vaya a la aplicación Fotos de su teléfono y mire el número total de vídeos e imágenes que hay en su dispositivo: todos los recuerdos de las vacaciones familiares, momentos inolvidables de algún concierto y un sinfín de fotos con su mascota. A continuación, abra su ordenador portátil o de sobremesa y compruebe cuántos documentos ha guardado: pueden ser todos aquellos informes que necesitaba para defender su tesis o la importantísima presentación que el jefe le pidió para el lunes. Si tuviera que hacer el cálculo, ¿diría que la cantidad total de archivos supera los mil? ¿Dos mil? ¿O llega quizá hasta los diez mil? Ahora imagine que todos estos datos desaparecieran de repente. ¿Qué haría?

Puede que piense: “Eso nunca me pasará a mí”. Sin embargo, esta situación es más común de lo que cree. Este año se estropearán más de 60 millones de ordenadores en todo el mundo y más de 200 000 smartphones se perderán o acabarán en manos ajenas. Por eso, aprovechando el Día Mundial de las Copias de Seguridad, queremos darle un par de consejos sobre cómo hacer copias de seguridad de sus archivos para tener la tranquilidad de saber que sus datos están a salvo.

¿Qué es una copia de seguridad y por qué es importante?

Una copia de seguridad es una copia de sus archivos y datos digitales más importantes que se guarda de manera independiente. Almacenar todos esos datos en un solo lugar, como un ordenador personal o un smartphone, puede no ser la opción más segura. Al crear una copia de seguridad de esos datos, garantiza que se almacenen y se mantengan a salvo en otro lugar en caso de que su dispositivo acabe siendo borrado o, peor aún, robado.

Y es que la pérdida de datos no es algo que solo le ocurra a las grandes empresas o a las víctimas desprevenidas de las películas de espías. Todos podemos perder nuestros dispositivos o ser víctimas de un robo. Por eso, hacer una copia de seguridad de nuestros datos es el primer paso para protegerlos y evitar que los ciberdelincuentes se lleven lo que no es suyo.

Nociones básicas sobre almacenamiento

Los datos suponen una de las posesiones más preciadas en el mundo moderno. Como hemos visto antes, todo el mundo colecciona innumerables archivos que contienen información valiosa que quieren mantener a salvo. Por suerte, hay dos maneras muy económicas de almacenar datos y copias de seguridad.

Almacenamiento en la nube

Aunque “la nube” se convirtió en la palabra de moda hace unos años, su definición sigue siendo confusa para algunos. La nube existe en centros de datos remotos a los que se puede acceder a través de Internet. Todos los datos que subimos a la nube se encuentran en servidores y unidades de almacenamiento que se alojan en almacenes lejanos, normalmente situados en campus llenos de este tipo de almacenes. Los centros de datos son propiedad de los proveedores de servicios en la nube, que son los responsables de mantener los servidores en funcionamiento.

Para conservar los datos físicamente a salvo de robos o daños, y para asegurarse de que están disponibles siempre que se quiera acceder a ellos, los centros de datos cuentan con amplios sistemas de refrigeración que evitan el sobrecalentamiento de los componentes electrónicos y tienen al menos un generador de reserva en caso de que se produzca un corte de electricidad. Pero, ¿cómo se aseguran de que estos datos están seguros en la ciberesfera? Los sistemas en la nube utilizan procesos de autenticación, como los nombres de usuario y las contraseñas, para limitar el acceso, y el cifrado de datos para evitar que los hackers roben o intercepten los datos. Sin embargo, no hay que olvidar que siempre existe la posibilidad de que una contraseña acabe en manos de quien no debe. Normalmente, las claves de cifrado de sus datos las tiene su proveedor de servicios, lo que significa que los empleados con malas intenciones podrían, en teoría, acceder a ellas. Del mismo modo, sus datos también podrían ser rastreados y confiscados por entidades gubernamentales.

Esto nos lleva a preguntarnos: ¿deberíamos confiar en la nube? Dado que las empresas de almacenamiento en la nube viven y mueren por su reputación, puede quedarse tranquilo sabiendo que hacen todo lo posible por utilizar las técnicas de seguridad más avanzadas y proporcionar el servicio más fiable posible. Para garantizar la seguridad de sus datos en caso de que decida almacenarlos o hacer una copia de seguridad en la nube, es recomendable guardar lo más confidencial en una nube privada protegida por un firewall.

Disco duro externo

Con un disco duro externo, usted mismo puede hacer una copia de seguridad de todos sus datos y archivos en un dispositivo físico al que puede acceder en cualquier momento. Estas unidades son una forma fiable de tener siempre a mano un duplicado de sus datos. Un disco duro externo no depende del acceso a Internet, como los servicios basados en la nube, y es una solución fácil para transferir datos a un nuevo dispositivo. Sin embargo, el uso de discos duros externos requiere un enfoque más práctico. Usted es el único responsable tanto de realizar las copias de seguridad con regularidad como de guardar su disco duro en un lugar seguro. Mientras que las soluciones en la nube ofrecen enormes cantidades de almacenamiento, el espacio en los discos duros es limitado, por lo que es posible que tenga que comprar más de un dispositivo. Busque una unidad externa con al menos un terabyte de espacio para alojar todos sus datos, ya que tienden a acumularse rápidamente.

Empiece con una limpieza digital anual

Al igual que dedica tiempo a limpiar y organizar su casa, le recomendamos dedicar la misma atención a sus posesiones digitales este Día Mundial de las Copias de Seguridad. Haga limpieza en sus dispositivos, aplicaciones y cuentas de Internet, y gane en tranquilidad sabiendo que todos sus datos están almacenados en un lugar seguro… y que tiene una copia de seguridad en caso de que algo salga mal. Recuerde que adelantarse a los acontecimientos es la mejor manera de reforzar su seguridad y proteger su información.

 

The post Es el Día Mundial de las Copias de Seguridad. Aprenda a conservar sus archivos appeared first on McAfee Blog.

Read More

C’est la journée mondiale de la sauvegarde!

Read Time:5 Minute, 9 Second

Tentons une expérience. Accédez à l’application de photos sur votre téléphone et regardez le nombre total de vidéos et d’images qui se trouvent sur votre appareil. Tous ces précieux souvenirs de vacances en famille, ces vidéos de vos concerts préférés, et les innombrables photos de votre animal de compagnie. Ensuite, ouvrez votre ordinateur et regardez combien de documents y sont enregistrés. Parmi eux se trouve peut-être un mémoire de recherche nécessaire pour obtenir votre diplôme ou un diaporama que vous devrez présenter lors d’une réunion importante avec votre supérieur lundi. Si vous deviez deviner, diriez-vous que le total de tous ces éléments se compte en milliers ? Maintenant, imaginez que toutes ces données disparaissent soudainement. Que feriez-vous ?

Vous pensez peut-être que ça ne vous arrivera jamais. Toutefois, cette situation est plus courante que vous ne pouvez le croire. Plus de 60 millions d’ordinateurs tomberont en panne cette année, et plus de 200 000 smartphones sont perdus ou volés chaque année. C’est pourquoi à l’occasion de la Journée mondiale de la sauvegarde, nous vous expliquons comment sauvegarder correctement vos fichiers pour avoir l’esprit tranquille en sachant vos données en sécurité.

Que sont les sauvegardes et pourquoi sont-elles importantes ?

Une sauvegarde est une copie séparée de vos fichiers numériques importants ou précieux. Stocker toutes ces données au même endroit, par exemple sur un ordinateur personnel ou un smartphone, peut se révéler dangereux. La création d’une copie de ces données par le biais d’une sauvegarde permettra de vous assurer qu’elles sont stockées et conservées en sécurité à un autre endroit, si jamais votre appareil était volé ou perdait ses données.

Il est important de reconnaître que les fuites de données n’arrivent pas qu’aux grandes entreprises ou aux victimes naïves dans les films d’espionnage. Tout le monde est susceptible d’être victime de perte ou de vol de données et la sauvegarde est un moyen facile de protéger toutes vos informations et d’empêcher les cybercriminels de vous déposséder de ce qui vous appartient.

Les bases du stockage de données

Les données sont l’une des ressources les plus importantes du monde moderne. Comme nous l’avons illustré précédemment, chaque personne rassemble d’innombrables fichiers qui contiennent de précieuses informations qu’elle souhaite garder en sécurité. Heureusement, il existe deux moyens simples et peu coûteux pour les utilisateurs de stocker leurs données et leurs sauvegardes importantes.

Stockage cloud

Bien que le « cloud » soit devenu un mot à la mode ces dernières années, il reste pour de nombreuses personnes un concept flou. Le cloud existe dans des centres de données à distance auxquels vous pouvez accéder via Internet. Toutes les données que vous avez chargées sur le cloud existent sur des serveurs dédiés et des volumes de stockage hébergés dans des entrepôts distants, souvent situés sur des campus remplis d’entrepôts de ce type. Les centres de données appartiennent aux fournisseurs de services cloud, qui sont responsables du bon fonctionnement des serveurs.

Pour protéger physiquement vos données du vol et de la destruction, et pour s’assurer que vous puissiez y accéder où que vous vous trouviez, les centres de données utilisent de vastes systèmes de refroidissement afin d’éviter la surchauffe des composants électroniques et possèdent au moins un générateur de secours en cas de coupure de courant. Mais comment s’assurent-ils que ces données sont en sécurité dans le cyberespace ? Les systèmes cloud utilisent des processus d’authentification tels que les noms d’utilisateur et les mots de passe pour limiter l’accès aux données, et le chiffrement pour protéger les données volées ou interceptées. Cependant, il ne faut pas oublier que les mots de passe peuvent être piratés. Généralement, le fournisseur de services détient les clés de chiffrement de vos données, ce qui signifie que des employés malintentionnés pourraient théoriquement accéder à vos données. De même, vos données pourraient potentiellement être fouillées et saisies par les autorités.

Cela soulève la question : faut-il faire confiance aux fournisseurs de services cloud ? Une bonne réputation est essentielle à la survie des entreprises de stockage cloud, vous pouvez donc être assuré qu’elles feront de leur mieux pour utiliser les techniques de sécurité les plus avancées et fournir le service le plus fiable possible. Pour contribuer à assurer la sécurité de vos données si vous choisissez de les stocker ou de les sauvegarder sur le cloud, nous vous conseillons de conserver toute information réellement sensible dans un cloud privé protégé par un pare-feu.

Disque dur externe

Avec un disque dur externe, vous pouvez sauvegarder manuellement toutes vos données et tous vos fichiers vous-même sur un périphérique physique auquel vous pouvez accéder à tout moment. Ces disques sont un moyen fiable d’assurer la redondance des données. Contrairement aux services cloud, les disques durs externes ne dépendent pas de l’accès à Internet et peuvent s’avérer pratique pour transférer des données sur un nouvel appareil. Toutefois, l’utilisation de disques durs externes exige une approche plus pratique de la sauvegarde de vos données. Il vous incombe d’effectuer régulièrement des sauvegardes et de stocker vos disques durs dans un endroit sûr. Alors que les solutions cloud offrent de grandes quantités de stockage, l’espace disponible sur les disques durs est limité, vous devrez donc potentiellement acheter plus d’un périphérique. Recherchez un disque dur externe offrant au moins un téraoctet d’espace afin d’y sauvegarder toutes vos données, qui ont tendance à s’accumuler rapidement.

Faites un grand ménage numérique de printemps

Tout comme vous nettoyez votre garage et rangez votre maison, prenez le temps de faire également le ménage numérique à l’occasion de la Journée mondiale de la sauvegarde. Désencombrez vos appareils, vos applications et vos comptes en ligne et gagnez en tranquillité d’esprit en sachant que toutes vos données précieuses sont stockées dans un emplacement sécurisé et que vous en possédez une sauvegarde en cas de problème. N’oubliez pas que la proactivité contribue grandement à renforcer votre cybersécurité et à protéger vos informations.

 

The post C’est la journée mondiale de la sauvegarde! appeared first on McAfee Blog.

Read More

USN-5358-1: Linux kernel vulnerabilities

Read Time:27 Second

It was discovered that the network traffic control implementation in the
Linux kernel contained a use-after-free vulnerability. A local attacker
could use this to cause a denial of service (system crash) or possibly
execute arbitrary code. (CVE-2022-1055)

It was discovered that the IPsec implementation in the Linux kernel did not
properly allocate enough memory when performing ESP transformations,
leading to a heap-based buffer overflow. A local attacker could use this to
cause a denial of service (system crash) or possibly execute arbitrary
code. (CVE-2022-27666)

Read More

Spring4Shell FAQ: Spring Framework Remote Code Execution Vulnerability

Read Time:3 Minute, 19 Second

Spring4Shell FAQ: Spring Framework Remote Code Execution Vulnerability

A list of frequently asked questions related to Spring4Shell.

Tenable Research is closely monitoring updates related to Spring4Shell. As more information becomes available, we will update this FAQ with additional details about the vulnerability, including Tenable product coverage.

Frequently Asked Questions about Spring4Shell

What is Spring4Shell?

Spring4Shell is the nickname given to a zero-day vulnerability in the Spring Core Framework, a programming and configuration model for Java-based enterprise applications.

Has a CVE been assigned to this vulnerability?

At the time this blog post was published, there was no known CVE-ID assigned for this vulnerability.

Is Spring4Shell related to Log4Shell?

While the name itself was inspired by Log4Shell (CVE-2021-44228), the two are not related.

Is there a patch available for Spring4Shell?

At the time this blog post was published, no patch was available for this vulnerability. However, we fully expect Spring to publish a patch for Spring4Shell along with assigning a CVE identifier. Once this information becomes available, we will update this blog.

How severe is Spring4Shell?

An attacker could exploit Spring4Shell by sending a specially crafted request to a vulnerable server. However, exploitation of Spring4Shell requires certain prerequisites, whereas the original Log4Shell vulnerability affected all versions of Log4j 2 using the default configuration.

Researcher Will Dormann tweeted about these prerequisites:

The prerequisites:
– Uses Spring Beans
– Uses Spring Parameter Binding
– Spring Parameter Binding must be configured to use a non-basic parameter type, such as POJOs
All this smells of “How can I make an app that’s exploitable” vs. “How can I exploit this thing that exists?”

— Will Dormann (@wdormann) March 30, 2022

It is unclear how common these prerequisites are. However, considering they are necessary for exploitation, we expect the impact of Spring4Shell to be much more limited than Log4Shell.

What versions of Spring Core Framework are affected?

So far, reports suggest that Spring applications running with Java Development Kit (JDK) 9 or greater are affected only if certain prerequisites are in place.

Is my application vulnerable if I use a JDK 9+ and Spring Framework?

Using both JDK 9+ and Spring Framework together does not necessarily equate to being vulnerable to Spring4Shell, as the application would need to be configured in a way for an attacker to exploit the flaw. For instance, Spring has recommended developers specify the allowedFields property when using the DataBinder class. Researchers have confirmed that not specifying this property could enable an attacker to leverage Spring4Shell against a vulnerable application.

What does Spring4Shell have to do with CVE-2010-1622?

Researchers at Praetorian have confirmed that Spring4Shell is a patch bypass of CVE-2010-1622, a code injection vulnerability in the Spring Core Framework that was reportedly fixed nearly 12 years ago. However, the researchers say the fix for CVE-2010-1622 was incomplete and a new path to exploit this legacy flaw exists.

Is Spring4Shell related to CVE-2022-22963?

No, these are two completely unrelated vulnerabilities. CVE-2022-22963 is a vulnerability in the Spring Cloud Function, a serverless framework for implementing business logic via functions. An advisory for CVE-2022-22963 was published on March 29 and patches for Spring Cloud Function are available.

Because there was no CVE assigned for Spring4Shell at the time of its disclosure, Spring4Shell was erroneously associated with CVE-2022-22963.

Is Proof of Concept exploit code available?

Yes, there are multiple working proof-of-concept (PoC) exploits available for both Spring4Shell and CVE-2022-22963.

Does Tenable have any product coverage for Spring4Shell?

Tenable Research is investigating the PoC exploits and monitoring updates related to the potential patch for Spring4Shell. We will update this blog post as new details emerge.

Get more information

Praetorian Blog on Spring4Shell
LunaSec Blog on Spring4Shell

Join Tenable’s Security Response Team on the Tenable Community.

Learn more about Tenable, the first Cyber Exposure platform for holistic management of your modern attack surface.

Get a free 30-day trial of Tenable.io Vulnerability Management.

Read More

USN-5357-1: Linux kernel vulnerability

Read Time:14 Second

It was discovered that the IPsec implementation in the Linux kernel did not
properly allocate enough memory when performing ESP transformations,
leading to a heap-based buffer overflow. A local attacker could use this to
cause a denial of service (system crash) or possibly execute arbitrary
code.

Read More

Smashing Security podcast #268: LinkedIn deepfakes, doxxing Russian spies, and a false alarm

Read Time:19 Second

Strange goings-on on LinkedIn, Ukraine publishes a list of alleged Russian FSB agents, and police in Pittsburgh investigate an odd report of an active shooter.

All this and much more is discussed in the latest edition of the award-winning “Smashing Security” podcast by computer security veterans Graham Cluley and Carole Theriault, joined this week by The Lazarus Heist’s Geoff White.

Read More