自動化されたソフトウェア セキュリティ企業であるCode Intelligence最近、人気のあるSpring Frameworkに重大なサービス拒否 (DoS) 脆弱性 (CVE-2023-20863) を特定しました。驚くべきことに、これは同社がわずか数週間でフレームワーク内で発見した 2 番目の DoS 脆弱性です。
Spring Framework で見つかった以前の脆弱性である CVE-2023-20861 は、CVSS (Common Vulnerability Scoring System) スコア 5.3 を保持していました。対照的に、新たに発見された脆弱性の CVSS スコアは 7.5 と高く、セキュリティ上の問題がより深刻であることを示しています。
Code Intelligence 、オープンソース ソフトウェアのセキュリティを強化する取り組みの一環として、Google OSS-Fuzz プログラムで JVM ファジング エンジンである Jazzer を使用してプロジェクトをテストし、脆弱性を発見しました。
この脆弱性の結果として、脆弱なSpring Frameworkバージョンに依存するさまざまなアプリケーションが、サーバーの可用性の問題の大きなリスクにさらされています。影響を受けるバージョンは次のとおりです。
- 6.0.0 から 6.0.7
- 5.3.0 から 5.3.26
- 5.2.0 から 5.2.23.RELEASE
この発見を受けて、 Code Intelligence CVE に対処するための修正を発行しました。これらの対策には、繰り返されるテキストのサイズに対する制限チェックの実装と、matches 演算子で使用される正規表現の長さの制御が含まれます。
この脆弱性の影響を受けるユーザーは、これらの修正を含む最新バージョンにアップグレードすることをお勧めします。具体的には、6.0.x バージョンを使用しているユーザーは 6.0.8+ にアップグレードし、5.3.x のユーザーは 5.3.27+ に更新し、5.2.x のユーザーは 5.2.24.RELEASE+ にアップグレードする必要があります。
アプリケーション開発において最高のセキュリティ基準を確保することは、特により合理化されたプロセスを求める企業にとって最も重要です。 AppMasterなどのNo-codeおよびlow-codeプラットフォームは、開発者がセキュリティとスケーラビリティを維持しながら、Web、モバイル、およびバックエンド アプリケーションを迅速に構築するのに役立ちます。 appmaster .io/blog/full-guide-on-no-code-low-code-app-development-for-2022" data-mce-href="https:// appmaster.io/blog/full-guide-on -no-code-low-code-app-development-for-2022"> No-codeおよびlow-codeアプリ開発ツールが普及しており、組織は効率性を高め、脆弱性のリスクを軽減した包括的なソフトウェア ソリューションを作成できます。