使用Spring Framework构建的应用程序面临严重缺陷
Spring框架,是用于开发Java Web的应用程序的。最近,其开发人员修补了三个漏洞,其中包括可用于远程代码执行的关键漏洞。
最严重的缺陷位于spring-messaging模块,它允许应用程序通过内存中的STOMP代理在WebSocket端点上公开STOMP(简单文本导向消息传递协议)。攻击者可以通过向代理发送特制的消息,利用该问题来获取远程代码执行。
该漏洞被命名为CVE-2018-1270,它影响了Spring Framework版本4.3.x和5.x,以及不再支持旧版本。强烈建议用户升级到新发布的Spring Framework 5.0.5或4.3.15。
第二个高级漏洞CVE-2018-1271,影响了用Spring MVC去服务静态资源如Windows上的文件系统里的CSS,JS的应用。该漏洞允许攻击者通过向特制URL发送请求来执行目录浏览,以访问受限资源。
凡是未使用Tomcat或WildFly作为其服务器的应用程序,或者未使用Windows文件的不受影响。
在Spring Framework 5.0.5和4.3.15,CVE-2018-1272中修补的第三个漏洞可能导致权限提升,但由于利用需要额外的攻击媒介,因此评级较低。
“当Spring MVC或Spring WebFlux服务器应用程序(服务器A)从远程客户端接收输入,然后使用该输入向另一个服务器(服务器B)发出多部分请求时,它可能会受到攻击,其中一个额外的多余部分插入服务器A的请求内容,导致服务器B对其预期的部分使用错误的值,“Spring开发人员指出。
但是,为了能成功,攻击者“必须能够猜测服务器A为服务器B的多部分请求选择的多部分边界值,这要求攻击者具有控制服务器或查看服务器的能力。”
Spring具有模块化架构,很受应用程序开发人员的欢迎,尤其是在企业领域。根据2016年对2040名参与者的调查结果,Spring MVC和Spring Boot是Java开发人员中最受欢迎的两个Web框架,分别被43%和29%的受访者使用。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
oss js sdk 异步架构改造
### 背景 随着js的技术变革,es6/7的语法的慢慢普及,并且很多的sdk都开始对新的异步进行支持,因此我们也在开始进行调研,总结目前sdk存在的问题: oss js sdk目前的异步api需要依赖第三方库co api的调用栈很不清晰,定位问题困难,只要是因为这个co库 对于then的异步方式需要一个wrapper来处理 issue上反馈了很多用户的诉求 ### 结构变化 所有的对外暴露的api方法 由之前的 function* 转变为 async function 需要使用 yeild 的地方均由 await 代替 底层异步全部统一使用Promise / async await形式 修改了部分bucket相关的api方法参数, 详情参考readme ### 改进点 #### 1.使调用栈变得清晰,方便问题的排查。 co调用栈可以看出: 调用栈非
- 下一篇
架构师的工作都干些什么?!想做架构师必看!
之前有网友说想看架构师升级的文章,所以写了本文。先给本文中架构师做个定义:第一,能力上达到(似乎是废话),第二,公司肯承认,不仅能给架构师的头衔,更能按架构师的标准发工资。 对于程序员来说,架构师是职业发展的一道坎,如果跨过去了,后面就前途无量了,否则可能一直得做着代码coding的事情。 本文将从“如何升级”和“平时工作内容”两方面,说下我对架构师的认识。 一、先说下大家对架构师认识的误区 1、架构师不是不食人间烟火,不是只在一个人的隔间里设计架构,而是需要和产品方,需求方,程序员等各路人马打交道。 2、架构师偏重于技术,这个不假,但绝不能是技术完美主义者,因为任何产品或网站的架构都充满着妥协。 3、高级程序员和架构师的界限并不明显,不是哪天高级程序员学好了什么课程,掌握了一门技术就自动升级到架构了,有些要求不高的项目里,甚至由高级开发来充当架构的角色。 4、架构师并不是门门都精通,而是得知道某个需求要点可以有哪些实现方案,然后会根据当前的预算,人员等情况合适地选择适合当前项目组的。 5、对架构师而言,不是什么都是得自己设计,比如实现负载均衡时,不可能让架构师用java实现一套解决方...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Docker安装Oracle12C,快速搭建Oracle学习环境
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- CentOS8编译安装MySQL8.0.19
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS8安装Docker,最新的服务器搭配容器使用
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- SpringBoot2整合Redis,开启缓存,提高访问速度
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS关闭SELinux安全模块