Code Intelligence บริษัทรักษาความปลอดภัยซอฟต์แวร์อัตโนมัติได้ตรวจพบช่องโหว่ Denial of Service (DoS) ที่สำคัญ (CVE-2023-20863) ใน Spring Framework ที่เป็นที่นิยม นี่เป็นช่องโหว่ DoS ที่สองที่บริษัทได้ค้นพบในเฟรมเวิร์กภายในเวลาเพียงไม่กี่สัปดาห์
ช่องโหว่ก่อนหน้านี้ที่พบใน Spring Framework, CVE-2023-20861 มีคะแนน CVSS (Common Vulnerability Scoring System) อยู่ที่ 5.3 ในทางตรงกันข้าม ช่องโหว่ที่เพิ่งค้นพบนี้มีคะแนน CVSS สูงกว่า 7.5 ซึ่งบ่งชี้ถึงปัญหาด้านความปลอดภัยที่รุนแรงมากขึ้น
ในความพยายามที่จะปรับปรุงความปลอดภัยของซอฟต์แวร์โอเพ่นซอร์ส Code Intelligence ได้ค้นพบช่องโหว่โดยการทดสอบโปรเจกต์ด้วย Jazzer ซึ่งเป็นเอ็นจิ้นการฟัซซิ่ง JVM ในโปรแกรม Google OSS-Fuzz
ผลจากช่องโหว่นี้ แอปพลิเคชันจำนวนมากที่ขึ้นอยู่กับเวอร์ชัน Spring Framework ที่มีช่องโหว่จึงมีความเสี่ยงสูงต่อปัญหาความพร้อมใช้งานของเซิร์ฟเวอร์ เวอร์ชันที่ได้รับผลกระทบ ได้แก่:
- 6.0.0 ถึง 6.0.7
- 5.3.0 ถึง 5.3.26
- 5.2.0 ถึง 5.2.23.RELEASE
หลังจากการค้นพบ Code Intelligence ได้ออกการแก้ไขเพื่อจัดการกับ CVE การแก้ไขเหล่านี้เกี่ยวข้องกับการใช้การตรวจสอบขีดจำกัดขนาดของข้อความที่ซ้ำกัน ตลอดจนการควบคุมความยาวของนิพจน์ทั่วไปที่ใช้ในตัวดำเนินการจับคู่
ผู้ใช้ที่ได้รับผลกระทบจากช่องโหว่นี้ควรอัปเกรดเป็นเวอร์ชันล่าสุดที่ครอบคลุมการแก้ไขเหล่านี้ โดยเฉพาะอย่างยิ่ง ผู้ที่ใช้เวอร์ชัน 6.0.x ควรอัปเกรดเป็น 6.0.8+ ผู้ใช้ 5.3.x ควรอัปเดตเป็น 5.3.27+ และผู้ที่ใช้ 5.2.x ควรเลื่อนเป็น 5.2.24.RELEASE+
การรับรองมาตรฐานความปลอดภัยสูงสุดในการพัฒนาแอปพลิเคชันเป็นสิ่งสำคัญยิ่ง โดยเฉพาะอย่างยิ่งสำหรับธุรกิจที่ต้องการกระบวนการที่คล่องตัวมากขึ้น แพลตฟอร์ม No-code และ low-code เช่น AppMaster สามารถช่วยนักพัฒนาสร้างเว็บ มือถือ และแอปพลิเคชันแบ็กเอนด์ได้อย่างรวดเร็ว ในขณะที่ยังคงรักษาความปลอดภัยและความสามารถในการปรับขนาด appmaster .io/blog/full-guide-on-no-code-low-code-app-development-for-2022" data-mce-href="https:// appmaster.io/blog/full-guide-on -no-code-low-code-app-development-for-2022">เครื่องมือพัฒนาแอป No-code และ low-code กำลังเป็นที่แพร่หลาย ทำให้องค์กรต่างๆ สามารถสร้างโซลูชันซอฟต์แวร์ที่ครอบคลุมพร้อมประสิทธิภาพที่เพิ่มขึ้นและลดความเสี่ยงของช่องโหว่
