Pivotal lukker alvorligt hul i Spring

Folkene bag webudviklingsplatformen Spring har lukket et alvorligt sikkerhedshul.

Angribere kan udnytte en sårbarhed i applikationer udviklet med Spring Data REST til at afvikle kommandoer på den server, applikationen kører på.

Sikkerhedshullet findes i flere Spring-komponenter, heriblandt Spring Boot, Spring Data og Spring Data REST.

Sårbarheden ligger i behandlingen af Patch-forespørgsler. Hvis de indeholder JSON-data, der er formet på en bestemt måde, kan der afvikles vilkårlig Java-kode.

Fejlen er rettet i følgende versioner:

  • Spring Data REST 2.5.12, 2.6.7, 3.0 RC3
  • Spring Boot 2.0.0.M4
  • Spring Data release train Kay-RC3

Anbefaling

Opdater til en rettet version.

Links