События

Во фреймворке Spring Framework обнаружена критическая уязвимость

В популярном фреймворке для разработки бизнес-приложений на Java Spring Framework обнаружен ряд уязвимостей, в том числе одна критическая. Уязвимости затрагивают версии Spring Framework 5.0 - 5.0.4 и 4.3 - 4.3.14.

Проблема, получившая идентификатор CVE-2018-1270, позволяет удаленному атакующему выполнить произвольный код в приложении на базе платформы путем отправки специально сформированного сообщения. Согласно опубликованному специалистами Pivotal предупреждению , «использование механизмов аутентификации и авторизации сообщений может ограничить пределы воздействия уязвимости только до пользователей данного приложения».

Вторая уязвимость (CVE-2018-1271) затрагивает MVC-контроллер (Model-View-Controller, «Модель-Вид-Контроллер»). Проблема позволяет атакующим осуществить атаку «обход каталога» (directory traversal) и получить доступ из файловой системы в Windows к папкам с ограниченным доступом. Эксплуатация уязвимости невозможна, если для доставки контента не используется Windows. Кроме того, проблему можно избежать, если не использовать файлы из файловой системы или в качестве сервера установить Tomcat/WildFly.

Pivotal уже выпустила обновления Spring Framework 5.0.5 и 4.3.15, устраняющие вышеописанные проблемы, а также представила Spring Boot 2.0.1 и 1.5.11, соответствующие пропатченным версиям Spring Framework. Разработчикам и администраторам рекомендуется установить обновления как можно скорее.

Spring Framework (или коротко Spring) — универсальный фреймворк с открытым исходным кодом для Java-платформы. Обеспечивает комплексную модель разработки и конфигурации для современных бизнес-приложений на Java на любых платформах.

Источник

Автор: Сергей Куприянов
6.04.2018 (12:37)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.