Code Intelligence, sebuah perusahaan keamanan perangkat lunak otomatis, baru-baru ini mengidentifikasi kerentanan Denial of Service (DoS) yang signifikan (CVE-2023-20863) di Spring Framework yang populer. Hebatnya, ini adalah kerentanan DoS kedua yang ditemukan perusahaan dalam kerangka hanya dalam beberapa minggu.
Kerentanan sebelumnya yang ditemukan di Spring Framework, CVE-2023-20861, memiliki skor CVSS (Common Vulnerability Scoring System) sebesar 5,3. Sebaliknya, kerentanan yang baru ditemukan membawa skor CVSS yang lebih tinggi yaitu 7,5, menunjukkan masalah keamanan yang lebih parah.
Dalam upaya mereka untuk meningkatkan keamanan perangkat lunak sumber terbuka, Code Intelligence menemukan kerentanan tersebut dengan menguji proyek dengan Jazzer, mesin fuzzing JVM-nya, dalam program Google OSS-Fuzz.
Sebagai akibat dari kerentanan ini, beragam aplikasi yang bergantung pada versi Spring Framework yang rentan berisiko besar mengalami masalah ketersediaan server. Versi yang terpengaruh meliputi:
- 6.0.0 hingga 6.0.7
- 5.3.0 hingga 5.3.26
- 5.2.0 hingga 5.2.23.RELEASE
Menyusul penemuan tersebut, Code Intelligence telah mengeluarkan perbaikan untuk menangani CVE. Solusi ini melibatkan penerapan pemeriksaan batas pada ukuran teks berulang, serta mengontrol panjang ekspresi reguler yang digunakan dalam operator pencocokan.
Pengguna yang terpengaruh oleh kerentanan ini disarankan untuk memutakhirkan ke versi yang lebih baru yang mencakup perbaikan ini. Secara khusus, mereka yang menggunakan versi 6.0.x harus meningkatkan ke 6.0.8+, pengguna 5.3.x harus memperbarui ke 5.3.27+, dan mereka yang menggunakan 5.2.x harus melanjutkan ke 5.2.24.RELEASE+.
Memastikan standar keamanan tertinggi dalam pengembangan aplikasi adalah hal terpenting, terutama untuk bisnis yang menginginkan proses yang lebih ramping. Platform No-code dan low-code seperti AppMaster dapat membantu pengembang membangun aplikasi web, seluler, dan backend dengan cepat, sekaligus menjaga keamanan dan skalabilitas. appmaster .io/blog/full-guide-on-no-code-low-code-app-development-for-2022" data-mce-href="https:// appmaster.io/blog/full-guide-on -no-code-low-code-app-development-for-2022">Alat pengembangan aplikasi No-code dan low-code semakin tersebar luas, memungkinkan organisasi membuat solusi perangkat lunak yang komprehensif dengan peningkatan efisiensi dan pengurangan risiko kerentanan.