Spring Framework Sürümlerindeki Kritik, Yüksek, Düşük Üç Güvenlik Açığı

Güvenlik araştırmacıları üç güvenlik açığını keşfettiler. Bunlardan biri, uzak saldırganların onunla oluşturulmuş uygulamalara karşı rasgele kod yürütmesine izin verebilecek kritik bir uzaktan kod yürütme hatasıydı.

Spring Framework, Java tabanlı kurumsal uygulamalar geliştirmek için popüler, hafif ve açık kaynaklı bir çerçevedir.

Pivotal tarafından bugün yayınlanan bir danışmanlık firmasında, şirket, Spring Framework sürüm 5.0 ila 5.0.4, 4.3 ila 4.3.14 sürümlerinde bulunan üç güvenlik açığını ve daha eski desteklenmeyen sürümleri ayrıntılı olarak açıklamaktadır:

Kritik : Yaylı mesajlaşma ile Uzaktan Kod Yürütme (CVE-2018-1270)
Yüksek : Windows’da Spring MVC ile Dizin Geçişi (CVE-2018-1271)
Düşük : Bahar Çerçevesi ile Çok Bölünmüş İçerik Kirliliği (CVE-2018-1272)

Savunmasız Spring Framework sürümleri, STOMP istemcilerini bir ‘bellek mesajlaşma’ modülü aracılığıyla bir bellek STOMP aracısı ile WebSocket uç noktaları üzerinden açığa çıkarır; bu, saldırganın aracıya kötü amaçlı hazırlanmış bir ileti göndermesine ve böylece uzaktan kod çalıştırma saldırısına yol açmasına neden olabilir (CVE -2.018-1270).
Şirket, “Spring Security tarafından sağlanan gibi kimlik doğrulama ve mesajların yetkilendirilmesinin kullanılması, bu açıklığa maruz kalmayı yalnızca uygulamayı kullanmalarına izin verilen kullanıcılarla sınırlayabilir.”

İkinci hata (CVE-2018-1271), saldırganların dizin geçişi saldırısını yürütmesine izin veren ve statik kaynaklara (örneğin, CSS, JS, resimler) hizmet verecek şekilde yapılandırıldığında kısıtlı dizinlere erişime izin veren Web’in Web model görünümü denetleyicisine (MVC) aittir. Windows’da bir dosya sistemi.

İçeriği sunmak için Windows kullanmıyorsanız ve dosya sisteminden dosya sunmuyorsanız ya da sunucu olarak Tomcat / WildFly kullanıyorsa bu güvenlik açığı çalışmaz.

Pivotal, tüm üç güvenlik açığına yönelik düzeltmeleri de içeren Spring Framework 5.0.5 ve 4.3.15’i yayımladı. Şirket ayrıca yamalı Spring Framework sürümleriyle eşleşen Spring Boot 2.0.1 ve 1.5.11’i de piyasaya sürdü.

Bu nedenle geliştiricilerin ve yöneticilerin yazılımlarını en son sürümlerine yükseltmeleri şiddetle tavsiye edilir.