基于Java有一个主要缺陷春季框架开源开发代码允许攻击者远程代码执行申请根据确定缺陷的安全公司的说法。
消息:流氓云给它工作人员的噩梦
杰夫·威廉姆斯
“它允许攻击者注入代码。” Security Secuther的首席执行官杰夫·威廉姆斯(Jeff Williams)在春季框架开发代码中发现了所谓的“表达语言”功能的弱点。
威廉姆斯说,方面的安全性一直与弹簧框架开源社区紧密合作,以解决该问题,但是到目前为止,与所谓的“带有表达语言注入的远程代码”相关的漏洞似乎并不容易借给自己。快速补丁。因此,相反,在弹簧上构建应用程序的软件开发人员可能会面临风险,并建议关闭表达语言功能。
威廉姆斯说,Spring可能会在下一个版本中默认情况下禁用表达语言功能,但是目前,如果攻击者利用漏洞,则可能导致对应用程序构建的完整妥协。威廉姆斯说:“这非常危险。”“他们可以完全接管Web应用程序,并在服务器。”
虽然尚不知道有多少弹簧开发的应用程序容易受到这种遥控代码的攻击,但具有表达语言注入攻击,Sonatype(提供开源组件)的中央存储库的运营商Sonatype表明,有超过130万的脆弱案例根据Security的说法,全球有22,000多个组织已下载了春季框架。
威廉姆斯承认,虽然揭露方面的脆弱性并不是“剥削”的脆弱性,但他毫无疑问,他毫无疑问,坚定的攻击者会这样做。他还指出,春季框架代码漏洞本周公开没有任何联系最近发现的问题在客户端的Java内浏览器中使用。
Ellen Messmer是IDG出版物和网站Network Wor有个足球雷竞技appld的高级编辑,她涵盖了与信息安全有关的新闻和技术趋势。推特:Messmere。电子邮件:emessmer@nww.com。