Firma Code Intelligence odkryła nową lukę w zabezpieczeniach DoS (CVE-2023-20863) w Spring Framework, co oznacza drugi taki problem wykryty przez firmę w ostatnim czasie. Przy wyniku CVSS wynoszącym 7,5 luka jest poważniejsza niż poprzednia (CVE-2023-20861).
Code Intelligence, firma zajmująca się automatycznym bezpieczeństwem oprogramowania, niedawno zidentyfikowała znaczącą lukę w zabezpieczeniach typu Denial of Service (DoS) (CVE-2023-20863) w popularnym Spring Framework. Co ciekawe, jest to druga luka DoS, którą firma odkryła w ramach tego frameworka w ciągu zaledwie kilku tygodni.
Poprzednia luka znaleziona w Spring Framework, CVE-2023-20861, uzyskała wynik CVSS (Common Vulnerability Scoring System) na poziomie 5,3. Natomiast nowo odkryta luka ma wyższy wynik CVSS wynoszący 7,5, co wskazuje na poważniejszy problem z bezpieczeństwem.
W swoich wysiłkach na rzecz zwiększenia bezpieczeństwa oprogramowania open source, Code Intelligence odkryło lukę, testując projekty za pomocą Jazzera, jego mechanizmu fuzzingu JVM, w programie Google OSS-Fuzz.
W wyniku tej luki wiele aplikacji zależnych od podatnych na ataki wersji Spring Framework jest bardzo narażonych na problemy z dostępnością serwera. Wersje, których dotyczy problem, obejmują:
Po wykryciu Code Intelligence wydała poprawki w celu rozwiązania problemu CVE. Te środki zaradcze obejmują wdrożenie kontroli limitów rozmiaru powtarzanego tekstu, a także kontrolowanie długości wyrażeń regularnych używanych w operatorze dopasowań.
Użytkownicy, których dotyczy ta luka, proszeni są o uaktualnienie do nowszej wersji, która obejmuje te poprawki. W szczególności użytkownicy wersji 6.0.x powinni dokonać aktualizacji do wersji 6.0.8+, użytkownicy wersji 5.3.x do wersji 5.3.27+, a użytkownicy wersji 5.2.x do wersji 5.2.24.RELEASE+.
Zapewnienie najwyższych standardów bezpieczeństwa podczas tworzenia aplikacji jest sprawą nadrzędną, zwłaszcza dla firm poszukujących bardziej usprawnionego procesu. Platformy No-code i low-code takie jak AppMaster, mogą pomóc programistom w szybkim tworzeniu aplikacji internetowych, mobilnych i zaplecza, przy jednoczesnym zachowaniu bezpieczeństwa i skalowalności. [appmaster .io/blog/full-guide-on-no-code-low-code-app-development-for-2022" data-mce-href="https:// appmaster.io/blog/full-guide-on -no-code-low-code-app-development-for-2022"> Narzędzia do tworzenia aplikacji No-code i low-code stają się powszechne](https://<span class=) , umożliwiając organizacjom tworzenie kompleksowych rozwiązań programowych o zwiększonej wydajności i zmniejszonym ryzyku wystąpienia luk w zabezpieczeniach.
04 paź 2024
7 min
23 wrz 20248 min
08 sie 20248 minExperiment with AppMaster with free plan.
When you will be ready you can choose the proper subscription.
