ВО ФРЕЙМВОРКЕ SPRING FRAMEWORK ОБНАРУЖЕНА КРИТИЧЕСКАЯ УЯЗВИМОСТЬ

Back to Blog
ВО ФРЕЙМВОРКЕ SPRING FRAMEWORK ОБНАРУЖЕНА КРИТИЧЕСКАЯ УЯЗВИМОСТЬ

ВО ФРЕЙМВОРКЕ SPRING FRAMEWORK ОБНАРУЖЕНА КРИТИЧЕСКАЯ УЯЗВИМОСТЬ

ВО ФРЕЙМВОРКЕ SPRING FRAMEWORK ОБНАРУЖЕНА КРИТИЧЕСКАЯ УЯЗВИМОСТЬ

Проблема позволяет удаленному атакующему выполнить произвольный код в приложении на базе платформы.

В популярном фреймворке для разработки бизнес-приложений на Java Spring Framework обнаружен ряд уязвимостей, в том числе одна критическая. Уязвимости затрагивают версии Spring Framework 5.0 — 5.0.4 и 4.3 — 4.3.14.

Проблема, получившая идентификатор CVE-2018-1270, позволяет удаленному атакующему выполнить произвольный код в приложении на базе платформы путем отправки специально сформированного сообщения. Согласно опубликованному специалистами Pivotal предупреждению , «использование механизмов аутентификации и авторизации сообщений может ограничить пределы воздействия уязвимости только до пользователей данного приложения».

Вторая уязвимость (CVE-2018-1271) затрагивает MVC-контроллер (Model-View-Controller, «Модель-Вид-Контроллер»). Проблема позволяет атакующим осуществить атаку «обход каталога» (directory traversal) и получить доступ из файловой системы в Windows к папкам с ограниченным доступом. Эксплуатация уязвимости невозможна, если для доставки контента не используется Windows. Кроме того, проблему можно избежать, если не использовать файлы из файловой системы или в качестве сервера установить Tomcat/WildFly.

Pivotal уже выпустила обновления Spring Framework 5.0.5 и 4.3.15, устраняющие вышеописанные проблемы, а также представила Spring Boot 2.0.1 и 1.5.11, соответствующие пропатченным версиям Spring Framework. Разработчикам и администраторам рекомендуется установить обновления как можно скорее.

Spring Framework (или коротко Spring) — универсальный фреймворк с открытым исходным кодом для Java-платформы. Обеспечивает комплексную модель разработки и конфигурации для современных бизнес-приложений на Java на любых платформах.

Поделиться этим постом

Back to Blog