Kein Handlungsbedarf bei CVE-2022-22965, CVE-2022-22963 und CVE-2022-22950

Im März 2022 wurden in den diversen Komponenten von Spring unterschiedliche Sicherheitslücken gemeldet und bereinigt.
Da das Spring Framework in bit-MaRisk eingesetzt wird, möchten wir Sie an dieser Stelle informieren, dass keine bit-MaRisk Version von den Sicherheitslücken CVE-2022-22965, CVE-2022-22963 oder CVE-2022-22950 betroffen ist.
Auch unsere Anwendungen auf der Notes/Domino Plattform sind nicht betroffen.

CVE-2022-22965 (auch Log4Spring oder Spring4Shell)
Erfahren Sie mehr: https://tanzu.vmware.com/security/cve-2022-22965
Diese Sicherheitslücke betrifft nur Java 9 oder höher.
Derzeit kann bit-MaRisk nur unter Java 8 (auch Java 1.8 genannt) eingesetzt werden.

CVE-2022-22963 (auch SpringShell oder Spring4Shell)
Erfahren Sie mehr: https://tanzu.vmware.com/security/cve-2022-22963
Diese Sicherheitslücke betrifft die Spring-Komponente „Spring Cloud“ welche nicht in bit-MaRisk enthalten ist.

CVE-2022-22950 (auch SpringShell oder Spring4Shell)
Erfahren Sie mehr: https://tanzu.vmware.com/security/cve-2022-22950
Allgemein werden keine Nutzerangaben ungeprüft in Ausdrücke der Spring Expression Language übernommen um entsprechenden Lücken vorzubeugen.

Somit besteht kein Handlungsbedarf. Die Abhängigkeiten zu Frameworks werden im Zuge der Weiterentwicklung regulär aktualisiert.