Cadre De Printemps Java

Les responsables de Spring Framework ont ​​publié un correctif d’urgence pour corriger une faille d’exécution de code à distance récemment révélée qui, si elle est exploitée avec succès, pourrait permettre à un attaquant non authentifié de prendre le contrôle d’un système ciblé.

Suivi comme CVE-2022-22965, la faille de gravité élevée affecte les versions Spring Framework 5.3.0 à 5.3.17, 5.2.0 à 5.2.19 et d’autres versions plus anciennes non prises en charge. Il est recommandé aux utilisateurs de mettre à niveau vers les versions 5.3.18 ou ultérieures et 5.2.20 ou ultérieures.

La Cyber-Sécurité

Spring Framework est un framework Java qui offre un support d’infrastructure pour développer des applications Web.

« La vulnérabilité affecte Spring MVC [model–view–controller] et les applications Spring WebFlux s’exécutant sur [Java Development Kit] 9+ », Rossen Stoyanchev de Spring.io mentionné dans un avis publié jeudi.

« L’exploit spécifique nécessite que l’application s’exécute sur Tomcat en tant que déploiement WAR. Si l’application est déployée en tant que jar exécutable Spring Boot, c’est-à-dire la valeur par défaut, elle n’est pas vulnérable à l’exploit. Cependant, la nature de la vulnérabilité est plus général, et il peut y avoir d’autres façons de l’exploiter », a ajouté Stoyanchev.

Publicité

« L’exploitation nécessite un point de terminaison avec DataBinder activé (par exemple, une requête POST qui décode automatiquement les données du corps de la requête) et dépend fortement du conteneur de servlet pour l’application », ont déclaré les chercheurs prétoriens Anthony Weems et Dallas Kaman. mentionné.

La Cyber-Sécurité

Cela dit, Spring.io a averti que « la nature de la vulnérabilité est plus générale » et qu’il pourrait y avoir d’autres moyens de militariser la faille qui n’a pas été révélée.

Le correctif arrive alors qu’un chercheur de langue chinoise a brièvement publié un commit GitHub contenant un code d’exploitation de preuve de concept (PoC) pour CVE-2022-22965 le 30 mars 2022, avant qu’il ne soit supprimé.

Spring.io, une filiale de VMware, a indiqué avoir été alerté pour la première fois de la vulnérabilité « mardi soir tard, vers minuit, heure GMT par codeplutos, meizjm3i d’AntGroup FG Security Lab ». Il a également crédité la société de cybersécurité Praetorian pour avoir signalé la faille.


Rate this post
Publicité
Article précédentLe spectacle d’Obi-Wan Kenobi retardé, Disney + publiera deux épisodes au lancement
Article suivantSivga Robin (SV021) Examen des écouteurs supra-auriculaires à dos fermé
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici