Spring被爆漏洞,允许远程执行代码

jopen 12年前

  安全公司 Aspect Security 今天透露,在 Spring 框架的开发代码中,发现了一个重大的安全漏洞。 

  Aspect Security 公司 CEO 杰夫·威廉姆斯(Jeff Williams)表示,该漏洞存在于 Spring 的“表达式语言”功能中,允许攻击者注入代码。 

  Aspect Security 目前已经联合 Spring 开源社区来解决这一问题,但是到目前为止,还没有任何快速修复补丁放出。因此,使用 Spring 框架的应用程序可以存在安全隐患,建议开发者关闭表达式语言功能。 

  威廉姆斯称,Spring 未来版本中将有可能默认不启用表达式语言功能,但是,目前存在的这个漏洞,如果被攻击者利用,可能会对应用程序产生大的威胁。这是非常危险的,攻击者可以完全接管一个 Web 应用程序,并在服务器上运行他们的代码。他还指出,该漏洞跟最近披露的浏览器 Java 漏洞无任何联系。 

  据提供开源组件的中央仓库 Sonatype 数据显示,目前已有超过 2.2 万个机构下载了超过 130 万次存在安全漏洞的 Spring 框架。 

  Via infoworld

来自: www.iteye.com