В Pivotal Spring Data REST исправлена критическая уязвимость

В Pivotal Spring Data REST исправлена критическая уязвимость

Проблема аналогична уязвимости в Apache Struts, приведшей к масштабной утечке данных клиентов Equifax.

image

Исследователи Semmle обнаружили в проекте Pivotal Spring Data REST серьезную уязвимость, позволяющую удаленно выполнить код. Производитель выпустил исправление в рамках обновления Spring Boot 2.0

Spring Framework от Pivotal Software является популярным фреймворком для разработки web-приложений, а Spring Data REST представляет собой коллекцию дополнительных компонентов для разработки Java-приложений, предлагающую RESTful API для лежащих в основе репозиториев Spring Data.

Уязвимость (CVE-2017-8046) была обнаружена еще в сентябре прошлого года, однако исследователи сообщили о ней широкой общественности только сейчас. Это связано с тем, что производитель хотел дать своим клиентам как можно больше времени на установку обновления. Уязвимость представляет большую опасность, поскольку является аналогичной уязвимости в Apache Struts, приведшей к масштабной утечке данных клиентов бюро кредитных историй Equifax.

Проблема затрагивает различные проекты Pivotal Spring. Если ее не исправить, злоумышленники смогут выполнять произвольные команды на любой машине с установленным приложением, созданным с помощью Spring Data REST. По словам специалистов Semmle, практически каждое современное приложение содержит компоненты, взаимодействующие через интерфейсы REST, начиная от сервисов по бронированию билетов и заканчивая банковскими сервисами.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle