Code Intelligence, une société de sécurité logicielle automatisée, a récemment identifié une importante vulnérabilité de déni de service (DoS) (CVE-2023-20863) dans le populaire Spring Framework. Remarquablement, il s'agit de la deuxième vulnérabilité DoS que l'entreprise a découverte dans le framework en quelques semaines seulement.
La vulnérabilité précédente trouvée dans Spring Framework, CVE-2023-20861, avait un score CVSS (Common Vulnerability Scoring System) de 5,3. En revanche, la nouvelle vulnérabilité porte un score CVSS plus élevé de 7,5, indiquant un problème de sécurité plus grave.
Dans ses efforts pour améliorer la sécurité des logiciels open source, Code Intelligence a découvert la vulnérabilité en testant des projets avec Jazzer, son moteur de fuzzing JVM, dans le programme Google OSS-Fuzz.
En raison de cette vulnérabilité, un large éventail d'applications dépendant de versions vulnérables Spring Framework sont très exposées aux problèmes de disponibilité du serveur. Les versions concernées incluent :
- 6.0.0 à 6.0.7
- 5.3.0 à 5.3.26
- 5.2.0 à 5.2.23.LIBÉRATION
Suite à la découverte, Code Intelligence a publié des correctifs pour résoudre le CVE. Ces solutions impliquent la mise en œuvre de contrôles de limite sur la taille du texte répété, ainsi que le contrôle de la longueur des expressions régulières utilisées dans l'opérateur de correspondance.
Les utilisateurs concernés par cette vulnérabilité sont invités à effectuer une mise à niveau vers une version plus récente qui inclut ces correctifs. Plus précisément, ceux qui utilisent la version 6.0.x doivent passer à la version 6.0.8+, les utilisateurs de la version 5.3.x doivent passer à la version 5.3.27+ et ceux de la version 5.2.x doivent passer à la version 5.2.24.RELEASE+.
Garantir les normes de sécurité les plus élevées dans le développement d'applications est primordial, en particulier pour les entreprises à la recherche d'un processus plus rationalisé. Les plates No-code et low-code telles AppMaster peuvent aider les développeurs à créer rapidement des applications Web, mobiles et backend, tout en maintenant la sécurité et l'évolutivité. appmaster .io/blog/full-guide-on-no-code-low-code-app-development-for-2022" data-mce-href="https:// appmaster.io/blog/full-guide-on -no-code-low-code-app-development-for-2022"> Les outils de développement d'applications No-code et low-code se généralisent, permettant aux organisations de créer des solutions logicielles complètes avec une efficacité accrue et un risque réduit de vulnérabilités.