Code Intelligence, một công ty bảo mật phần mềm tự động, gần đây đã xác định được lỗ hổng Từ chối dịch vụ (DoS) quan trọng (CVE-2023-20863) trong Spring Framework phổ biến. Đáng chú ý, đây là lỗ hổng DoS thứ hai mà công ty đã phát hiện ra trong khuôn khổ chỉ trong vài tuần.
Lỗ hổng trước đó được tìm thấy trong Spring Framework, CVE-2023-20861, có điểm CVSS (Hệ thống chấm điểm lỗ hổng chung) là 5,3. Ngược lại, lỗ hổng mới phát hiện có điểm CVSS cao hơn là 7,5, cho thấy vấn đề bảo mật nghiêm trọng hơn.
Trong nỗ lực tăng cường tính bảo mật của phần mềm nguồn mở, Code Intelligence đã phát hiện ra lỗ hổng này bằng cách thử nghiệm các dự án với Jazzer, công cụ làm mờ JVM của nó, trong chương trình Google OSS-Fuzz.
Do lỗ hổng này, một loạt các ứng dụng phụ thuộc vào các phiên bản Spring Framework dễ bị tổn thương có nguy cơ cao gặp sự cố về tính khả dụng của máy chủ. Các phiên bản bị ảnh hưởng bao gồm:
- 6.0.0 đến 6.0.7
- 5.3.0 đến 5.3.26
- 5.2.0 đến 5.2.23.RELEASE
Sau khi phát hiện ra, Code Intelligence đã đưa ra các bản sửa lỗi để giải quyết CVE. Các biện pháp khắc phục này liên quan đến việc thực hiện kiểm tra giới hạn về kích thước của văn bản lặp lại, cũng như kiểm soát độ dài của các biểu thức chính quy được sử dụng trong toán tử so khớp.
Người dùng bị ảnh hưởng bởi lỗ hổng này được khuyến khích nâng cấp lên phiên bản mới hơn bao gồm các bản sửa lỗi này. Cụ thể, những người sử dụng phiên bản 6.0.x nên nâng cấp lên 6.0.8+, người dùng 5.3.x nên cập nhật lên 5.3.27+ và những người dùng 5.2.x nên nâng cấp lên 5.2.24.RELEASE+.
Đảm bảo các tiêu chuẩn bảo mật cao nhất trong phát triển ứng dụng là điều tối quan trọng, đặc biệt đối với các doanh nghiệp đang tìm kiếm một quy trình hợp lý hơn. Các nền tảng No-code và low-code như AppMaster có thể giúp các nhà phát triển xây dựng các ứng dụng web, di động và phụ trợ một cách nhanh chóng, đồng thời duy trì tính bảo mật và khả năng mở rộng. appmaster .io/blog/full-guide-on-no-code-low-code-app-development-for-2022" data-mce-href="https:// appmaster.io/blog/full-guide-on -no-code-low-code-app-development-for-2022"> Các công cụ phát triển ứng dụng No-code và low-code đang trở nên phổ biến, cho phép các tổ chức tạo ra các giải pháp phần mềm toàn diện với hiệu quả cao hơn và giảm nguy cơ bị tổn thương.