حددت شركة Code Intelligence ، وهي شركة أمان برمجيات آلية ، مؤخرًا ثغرة كبيرة في رفض الخدمة (DoS) (CVE-2023-20863) في Spring Framework الشهير. من اللافت للنظر ، أن هذه هي الثغرة الأمنية الثانية التي كشفت عنها الشركة في إطار العمل في غضون أسابيع قليلة.
الثغرة السابقة التي تم العثور عليها في إطار الربيع ، CVE-2023-20861 ، حصلت على درجة CVSS (نظام نقاط الضعف المشترك) 5.3. في المقابل ، تحمل الثغرة المكتشفة حديثًا درجة أعلى في CVSS تبلغ 7.5 ، مما يشير إلى مشكلة أمنية أكثر خطورة.
في إطار جهودهم لتعزيز أمان البرامج مفتوحة المصدر ، اكتشفت Code Intelligence الثغرة الأمنية من خلال اختبار المشاريع مع Jazzer ، محرك التشويش JVM الخاص بها ، في برنامج Google OSS-Fuzz.
نتيجة لهذه الثغرة الأمنية ، فإن مجموعة كبيرة من التطبيقات التي تعتمد على إصدارات Spring Framework الضعيفة معرضة لخطر كبير لمشكلات توفر الخادم. تتضمن الإصدارات المتأثرة ما يلي:
- 6.0.0 إلى 6.0.7
- 5.3.0 إلى 5.3.26
- 5.2.0 إلى 5.2.23
بعد الاكتشاف ، أصدرت Code Intelligence إصلاحات لمعالجة مشكلة التطرف العنيف. تتضمن هذه العلاجات تنفيذ عمليات التحقق من الحد على حجم النص المكرر ، بالإضافة إلى التحكم في طول التعبيرات العادية المستخدمة في مشغل المطابقات.
يتم حث المستخدمين المتأثرين بهذه الثغرة الأمنية على الترقية إلى إصدار أحدث يشمل هذه الإصلاحات. على وجه التحديد ، يجب على أولئك الذين يستخدمون الإصدار 6.0.x الترقية إلى الإصدار 6.0.8+ ، ويجب على مستخدمي الإصدار 5.3.x التحديث إلى الإصدار 5.3.27+ ، ويجب على مستخدمي الإصدار 5.2.x التقدم إلى الإصدار 5.2.24.RELEASE +.
يعد ضمان أعلى معايير الأمان في تطوير التطبيقات أمرًا بالغ الأهمية ، خاصة للشركات التي تسعى إلى عملية أكثر بساطة. يمكن أن تساعد الأنظمة الأساسية No-code low-code مثل AppMaster المطورين على بناء تطبيقات الويب والجوال والخلفية بسرعة ، مع الحفاظ على الأمان وقابلية التوسع. appmaster .io / blog / full-guide-on-no-code-low-code-app-development-for-2022 "data-mce-href =" https: // appmaster.io / blog / full-guide-on -no-code-low-code-app-development-for-2022 "> أصبحت أدوات تطوير التطبيقات No-code low-code منتشرة على نطاق واسع ، مما يمكّن المؤسسات من إنشاء حلول برمجية شاملة ذات كفاءة متزايدة وتقليل مخاطر التعرض لنقاط الضعف.