Code Intelligence, ein Unternehmen für automatisierte Softwaresicherheit, hat kürzlich eine bedeutende Denial-of-Service (DoS)-Schwachstelle (CVE-2023-20863) im beliebten Spring Framework identifiziert. Bemerkenswerterweise ist dies die zweite DoS-Schwachstelle, die das Unternehmen innerhalb weniger Wochen in dem Framework entdeckt hat.
Die zuvor im Spring Framework gefundene Schwachstelle, CVE-2023-20861, hatte einen CVSS-Wert (Common Vulnerability Scoring System) von 5,3. Im Gegensatz dazu weist die neu entdeckte Schwachstelle einen höheren CVSS-Score von 7,5 auf, was auf ein schwerwiegenderes Sicherheitsproblem hinweist.
In ihrem Bemühen, die Sicherheit von Open-Source-Software zu verbessern, entdeckte Code Intelligence die Schwachstelle, indem es Projekte mit Jazzer, seiner JVM-Fuzzing-Engine, im Google OSS-Fuzz-Programm testete.
Aufgrund dieser Schwachstelle besteht für eine Vielzahl von Anwendungen, die von anfälligen Spring Framework Versionen abhängig sind, ein hohes Risiko für Probleme mit der Serververfügbarkeit. Zu den betroffenen Versionen gehören:
- 6.0.0 bis 6.0.7
- 5.3.0 bis 5.3.26
- 5.2.0 bis 5.2.23.RELEASE
Nach der Entdeckung hat Code Intelligence Korrekturen herausgegeben, um das CVE zu beheben. Diese Abhilfemaßnahmen umfassen die Implementierung von Begrenzungsprüfungen für die Größe von wiederholtem Text sowie die Steuerung der Länge von regulären Ausdrücken, die im Übereinstimmungsoperator verwendet werden.
Benutzer, die von dieser Schwachstelle betroffen sind, werden dringend gebeten, auf eine neuere Version zu aktualisieren, die diese Fixes umfasst. Insbesondere diejenigen, die die Version 6.0.x verwenden, sollten auf 6.0.8+ aktualisieren, Benutzer von 5.3.x sollten auf 5.3.27+ aktualisieren und diejenigen, die 5.2.x verwenden, sollten auf 5.2.24.RELEASE+ vorrücken.
Die Gewährleistung der höchsten Sicherheitsstandards bei der Anwendungsentwicklung ist von größter Bedeutung, insbesondere für Unternehmen, die einen optimierten Prozess anstreben. No-code und low-code Plattformen wie AppMaster können Entwickler dabei unterstützen, Web-, Mobil- und Backend-Anwendungen schnell zu erstellen und gleichzeitig Sicherheit und Skalierbarkeit zu gewährleisten. appmaster .io/blog/full-guide-on-no-code-low-code-app-development-for-2022" data-mce-href="https:// appmaster.io/blog/full-guide-on -no-code-low-code-app-development-for-2022"> No-code und low-code -App-Entwicklungstools sind weit verbreitet und ermöglichen es Unternehmen, umfassende Softwarelösungen mit erhöhter Effizienz und reduziertem Risiko von Schwachstellen zu erstellen.