Yeni kritik təhlükəsizlik boşluğu aşkar edilib

Java əsaslı tətbiqlərin hazırlanmasına geniş istifadə edilən açıq mənbə kodlu “Spring Framework” platformasında kritik təhlükəsizlik boşluğu aşkar edilib.

TIME rəsmi mənbəyə istinadən bildirir ki, “Spring4Shell” olaraq adlandırılan bu təhlükəsizlik boşluğunun aradan qaldırılması üçün “Spring” tərəfindən yeniləmələr təqdim edilib.

Təsviri: CVSS şkalasında 9.8 xal (kritik) ilə qiymətləndirilən “RCE” sinfinə aid bu boşluq Spring ilə yazılmış Java tətbiqlərində autentifikasiya prosesindən keçmədən uzaqdan ixtiyari (zərərli) kodu icra etməyə imkan yaradır.
İstismarı sadə olduğundan və bununla bağlı texniki detallar artıq internetdə yayıldığından boşluqdan geniş miqyasda istifadə olunması qaçınılmazdır.

Təsir görən sistemlər:  “Java Development Kit” 9 və ya yuxarı versiyalarda işləyən, xüsusilə servlet konteyner kimi Apache Tomcat istifadə edən, “Spring MVC” və “Spring WebFlux” tətbiqləri təhlükə altındadır.

Həlli: “Spring Framework” 5.3.18 və ya 5.2.20 versiyalarına yenilənməlidir.

“Apache Software Foundation” tərəfindən təqdim edilən “Apache Tomcat” 10.0.20, 9.0.62 və ya 8.5.78 versiyalarına yeniləmə “Tomcat” ilə bağlı boşluğu aradan qaldırır.


Bundan əlavə, hər hansı səbəbdən bu yeniləmələri tətbiq edə bilməyənlər hücumun qarşısını almaq üçün “Spring” tərəfindən aşağıdakı keçiddə təqdim edilən tədbirləri həyata keçirə bilər: https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement#overview

Bir cavab yazın

Sistemə daxil olmaq üçün məlumatlarınızı daxil edin və ya ikonlardan birinə tıklayın:

WordPress.com Loqosu

WordPress.com hesabınızdan istifadə edərək şərh edirsinz. Çıxış /  Dəyişdir )

Twitter rəsmi

Twitter hesabınızdan istifadə edərək şərh edirsinz. Çıxış /  Dəyişdir )

Facebook fotosu

Facebook hesabınızdan istifadə edərək şərh edirsinz. Çıxış /  Dəyişdir )

%s qoşulma