Otomatik bir yazılım güvenlik firması olan Code Intelligence, yakın zamanda popüler Spring Framework önemli bir Hizmet Reddi (DoS) güvenlik açığı (CVE-2023-20863) tespit etti. Dikkat çekici bir şekilde, bu, şirketin çerçevede yalnızca birkaç hafta içinde ortaya çıkardığı ikinci DoS güvenlik açığıdır.
Spring Framework'te bulunan bir önceki güvenlik açığı olan CVE-2023-20861'in CVSS (Ortak Güvenlik Açığı Puanlama Sistemi) puanı 5,3'tü. Buna karşılık, yeni keşfedilen güvenlik açığı, daha ciddi bir güvenlik sorununa işaret eden 7,5 gibi daha yüksek bir CVSS puanı taşır.
Code Intelligence açık kaynaklı yazılımların güvenliğini artırma çabalarında, projeleri Google OSS-Fuzz programında JVM bulanıklaştırma motoru olan Jazzer ile test ederek güvenlik açığını keşfetti.
Bu güvenlik açığının bir sonucu olarak, güvenlik açığı bulunan Spring Framework sürümlerine bağlı çok çeşitli uygulamalar, sunucu kullanılabilirliği sorunları açısından büyük risk altındadır. Etkilenen sürümler şunları içerir:
- 6.0.0 - 6.0.7
- 5.3.0 - 5.3.26
- 5.2.0 - 5.2.23.SÜRÜM
Keşfin ardından Code Intelligence, CVE'yi ele almak için düzeltmeler yayınladı. Bu çözümler, eşleşme operatöründe kullanılan normal ifadelerin uzunluğunun kontrol edilmesinin yanı sıra, yinelenen metnin boyutu üzerinde sınır kontrollerinin uygulanmasını içerir.
Bu güvenlik açığından etkilenen kullanıcıların, bu düzeltmeleri içeren daha yeni bir sürüme yükseltmeleri önerilir. Spesifik olarak, 6.0.x sürümünü kullananlar 6.0.8+ sürümüne yükseltmeli, 5.3.x kullanıcıları 5.3.27+ sürümüne güncelleme yapmalı ve 5.2.x sürümünü kullananlar 5.2.24.RELEASE+ sürümüne geçmelidir.
Uygulama geliştirmede en yüksek güvenlik standartlarını sağlamak, özellikle daha akıcı bir süreç arayan işletmeler için çok önemlidir. AppMaster gibi No-code ve low-code platformlar, güvenlik ve ölçeklenebilirliği korurken geliştiricilerin web, mobil ve arka uç uygulamalarını hızla oluşturmasına yardımcı olabilir. appmaster .io/blog/full-guide-on-no-code-low-code-app-development-for-2022" data-mce-href="https:// appmaster.io/blog/full-guide-on -no-code-low-code-app-development-for-2022"> No-code ve low-code uygulama geliştirme araçları yaygınlaşarak kuruluşların artan verimlilik ve düşük güvenlik açığı riski ile kapsamlı yazılım çözümleri oluşturmasını sağlıyor.