Code Intelligence ujawnia drugą lukę DoS w Spring Framework z wyższym wynikiem CVSS

Code Intelligence, firma zajmująca się automatycznym bezpieczeństwem oprogramowania, niedawno zidentyfikowała znaczącą lukę w zabezpieczeniach typu Denial of Service (DoS) (CVE-2023-20863) w popularnym Spring Framework. Co ciekawe, jest to druga luka DoS, którą firma odkryła w ramach tego frameworka w ciągu zaledwie kilku tygodni.

Poprzednia luka znaleziona w Spring Framework, CVE-2023-20861, uzyskała wynik CVSS (Common Vulnerability Scoring System) na poziomie 5,3. Natomiast nowo odkryta luka ma wyższy wynik CVSS wynoszący 7,5, co wskazuje na poważniejszy problem z bezpieczeństwem.

W swoich wysiłkach na rzecz zwiększenia bezpieczeństwa oprogramowania open source, Code Intelligence odkryło lukę, testując projekty za pomocą Jazzera, jego mechanizmu fuzzingu JVM, w programie Google OSS-Fuzz.

W wyniku tej luki wiele aplikacji zależnych od podatnych na ataki wersji Spring Framework jest bardzo narażonych na problemy z dostępnością serwera. Wersje, których dotyczy problem, obejmują:

• 6.0.0 do 6.0.7
• 5.3.0 do 5.3.26
• 5.2.0 do 5.2.23.WYDANIE

Po wykryciu Code Intelligence wydała poprawki w celu rozwiązania problemu CVE. Te środki zaradcze obejmują wdrożenie kontroli limitów rozmiaru powtarzanego tekstu, a także kontrolowanie długości wyrażeń regularnych używanych w operatorze dopasowań.

Użytkownicy, których dotyczy ta luka, proszeni są o uaktualnienie do nowszej wersji, która obejmuje te poprawki. W szczególności użytkownicy wersji 6.0.x powinni dokonać aktualizacji do wersji 6.0.8+, użytkownicy wersji 5.3.x do wersji 5.3.27+, a użytkownicy wersji 5.2.x do wersji 5.2.24.RELEASE+.

Zapewnienie najwyższych standardów bezpieczeństwa podczas tworzenia aplikacji jest sprawą nadrzędną, zwłaszcza dla firm poszukujących bardziej usprawnionego procesu. Platformy No-code i low-code takie jak AppMaster, mogą pomóc programistom w szybkim tworzeniu aplikacji internetowych, mobilnych i zaplecza, przy jednoczesnym zachowaniu bezpieczeństwa i skalowalności. [appmaster .io/blog/full-guide-on-no-code-low-code-app-development-for-2022" data-mce-href="https:// appmaster.io/blog/full-guide-on -no-code-low-code-app-development-for-2022"> Narzędzia do tworzenia aplikacji No-code i low-code stają się powszechne](https://<span class=) , umożliwiając organizacjom tworzenie kompleksowych rozwiązań programowych o zwiększonej wydajności i zmniejszonym ryzyku wystąpienia luk w zabezpieczeniach.