Code Intelligence, een geautomatiseerd softwarebeveiligingsbedrijf, heeft onlangs een aanzienlijke Denial of Service (DoS)-kwetsbaarheid (CVE-2023-20863) in het populaire Spring Framework geïdentificeerd. Opmerkelijk genoeg is dit de tweede DoS-kwetsbaarheid die het bedrijf binnen enkele weken in het framework heeft ontdekt.
De vorige kwetsbaarheid gevonden in het Spring Framework, CVE-2023-20861, had een CVSS-score (Common Vulnerability Scoring System) van 5,3. De pas ontdekte kwetsbaarheid heeft daarentegen een hogere CVSS-score van 7,5, wat wijst op een ernstiger beveiligingsprobleem.
In hun poging om de beveiliging van open-source software te verbeteren, ontdekte Code Intelligence de kwetsbaarheid door projecten te testen met Jazzer, zijn JVM-fuzzing-engine, in het Google OSS-Fuzz-programma.
Als gevolg van deze kwetsbaarheid lopen een breed scala aan applicaties die afhankelijk zijn van kwetsbare Spring Framework versies een groot risico op serverbeschikbaarheidsproblemen. De getroffen versies omvatten:
- 6.0.0 tot 6.0.7
- 5.3.0 tot 5.3.26
- 5.2.0 tot 5.2.23.RELEASE
Na de ontdekking heeft Code Intelligence oplossingen uitgegeven om de CVE aan te pakken. Deze remedies omvatten het implementeren van limietcontroles op de grootte van herhaalde tekst, evenals het beheersen van de lengte van reguliere expressies die worden gebruikt in de matches-operator.
Gebruikers die door dit beveiligingslek worden getroffen, worden dringend verzocht te upgraden naar een recentere versie die deze fixes bevat. Met name degenen die de 6.0.x-versie gebruiken, moeten upgraden naar 6.0.8+, gebruikers van 5.3.x moeten updaten naar 5.3.27+ en degenen op 5.2.x moeten doorgaan naar 5.2.24.RELEASE+.
Het waarborgen van de hoogste beveiligingsnormen bij het ontwikkelen van applicaties is van het grootste belang, vooral voor bedrijven die op zoek zijn naar een meer gestroomlijnd proces. No-code en low-code platforms zoals AppMaster kunnen ontwikkelaars helpen om snel web-, mobiele en backend-applicaties te bouwen, met behoud van veiligheid en schaalbaarheid. appmaster .io/blog/full-guide-on-no-code-low-code-app-development-for-2022" data-mce-href="https:// appmaster.io/blog/full-guide-on -no-code-low-code-app-development-for-2022"> No-code en low-code app-ontwikkelingstools worden steeds wijdverbreid, waardoor organisaties uitgebreide softwareoplossingen kunnen creëren met verhoogde efficiëntie en minder risico op kwetsbaarheden.