Code Intelligence, компания, занимающаяся автоматизированной безопасностью программного обеспечения, недавно обнаружила серьезную уязвимость типа «отказ в обслуживании» (DoS) (CVE-2023-20863) в популярном Spring Framework. Примечательно, что это вторая DoS-уязвимость, которую компания обнаружила в фреймворке всего за несколько недель.
Предыдущая уязвимость, обнаруженная в Spring Framework, CVE-2023-20861, имела оценку CVSS (Common Vulnerability Scoring System) 5,3. Напротив, вновь обнаруженная уязвимость имеет более высокий балл CVSS 7,5, что указывает на более серьезную проблему безопасности.
Пытаясь повысить безопасность программного обеспечения с открытым исходным кодом, Code Intelligence обнаружила уязвимость, протестировав проекты с Jazzer, своим механизмом фаззинга JVM, в программе Google OSS-Fuzz.
В результате этой уязвимости широкий спектр приложений, зависящих от уязвимых версий Spring Framework, подвергается большому риску проблем с доступностью сервера. Затронутые версии включают:
- от 6.0.0 до 6.0.7
- с 5.3.0 по 5.3.26
- с 5.2.0 по 5.2.23.РЕЛИЗ
После обнаружения Code Intelligence выпустила исправления для устранения CVE. Эти средства включают в себя проверку ограничения размера повторяющегося текста, а также контроль длины регулярных выражений, используемых в операторе совпадений.
Пользователям, затронутым этой уязвимостью, настоятельно рекомендуется выполнить обновление до более поздней версии, включающей эти исправления. В частности, те, кто использует версию 6.0.x, должны обновиться до 6.0.8+, пользователи 5.3.x должны обновиться до 5.3.27+, а пользователи 5.2.x должны перейти на 5.2.24.RELEASE+.
Обеспечение высочайших стандартов безопасности при разработке приложений имеет первостепенное значение, особенно для компаний, которым требуется более рациональный процесс. Платформы No-code и low-code такие как AppMaster могут помочь разработчикам быстро создавать веб-приложения, мобильные и серверные приложения, сохраняя при этом безопасность и масштабируемость. appmaster .io/blog/full-guide-on-no-code-low-code-app-development-for-2022" data-mce-href="https:// appmaster.io/blog/full-guide-on -no-code-low-code-app-development-for-2022"> Инструменты разработки приложений No-code и low-code получают широкое распространение, позволяя организациям создавать комплексные программные решения с повышенной эффективностью и сниженным риском уязвимостей.