Sicherheitsforscher haben kürzlich drei Sicherheitslücken im Zusammenhang mit dem Spring Framework entdeckt, die die Remote-Ausführung von Code ermöglichen (CVE-2022-22965, CVE-2022-22963, CVE-2022-22947). Darüber hinaus wurde eine DoS-Sicherheitslücke mit mittlerem Gefahrengrad (CVE-2022-22950) bei Spring entdeckt.
Das Sicherheitsteam von Udemy hat die Udemy-Systeme seit der Entdeckung dieser Probleme sorgfältig überprüft und entsprechende Schutzmaßnahmen ergriffen. Zurzeit gibt es keine Hinweise darauf, dass diese Sicherheitslücken negative Auswirkungen auf Unternehmens- oder persönliche Daten hatten.
Bei derart hochgefährlichen Sicherheitslücken ergreifen unsere Teams eine Reihe von Sofortmaßnahmen: Sie testen, ob unsere Systeme von der Sicherheitslücke betroffen sind, beschränken Netzwerkverbindungen und wenden Software- und/oder Systemupdates bzw. Umgehungslösungen an, wo dies nötig ist. Unsere Sicherheits- und Technikteams werden unser gesamtes System sowie essenzielle Verarbeitungspartner und Anbieter kontinuierlich auf Vorhandensein dieser Sicherheitslücken, Angriffsversuche und Meldungen von Dritten, die für uns arbeiten, überwachen.
Wenn wir über neue Informationen verfügen, wird diese Seite entsprechend aktualisiert. Unser Sicherheitsteam arbeitet kontinuierlich daran, unsere Systeme gemäß den aktuellen Empfehlungen der Sicherheitsforscher abzusichern, und kann daher zurzeit keine individuellen Maßnahmen bereitstellen. Genauere Infos zu unserer Herangehensweise findest du in den folgenden Antworten auf häufig gestellte Fragen.
Wurde ein Update auf eine sicherere Version des Spring Framework durchgeführt?
Wir ergreifen an allen Stellen, an denen zuvor gefährdete Versionen des Spring Framework oder damit zusammenhängende Produkte verwendet wurden, Abhilfemaßnahmen, z. B. ein Upgrade auf eine empfohlene neuere Version oder die Implementierung empfohlener Umgehungslösungen. Darüber hinaus haben wir unsere mehrschichtigen Schutzmaßnahmen angepasst, um unsere Systeme rundum besser abzusichern.
Wann sind die Sicherheitsmaßnahmen abgeschlossen?
Da sich die Muster der Angriffe auf die Sicherheitslücken beim Spring Framework zurzeit ständig ändern und weiterentwickeln, verfolgt unser Sicherheitsteam die Hinweise von Sicherheitsexperten und -anbietern und wird bei der Veröffentlichung von neuen Empfehlungen entsprechende Abhilfe- und Schutzmaßnahmen ergreifen.
Wurden Kundendaten kompromittiert?
Zurzeit gibt es keine Hinweise darauf, dass diese Sicherheitslücke negative Auswirkungen auf Unternehmens- oder persönliche Daten hatte.
Werden externe Anbieter, die in den Udemy-Systemen verwendet werden, dazu befragt, ob und wie sie von den Problemen beim Spring Framework betroffen sind?
Wir haben wichtige externe Verarbeitungspartner kontaktiert und nehmen Updates, die von den Anbietern bereitgestellt werden, an betroffenen Anwendungen und Tools vor.