VMware Tanzu Spring Security'de saldırganlar, yetkilendirme kurallarını atlamak için kritik bir güvenlik açığından yararlanabilir. Güvenlik açığını kapatan güncel yazılım mevcuttur.
Duyuru
Spring Security, esasen Spring tabanlı uygulamaların güvenliğini sağlamak için standart olan, yüksek derecede yapılandırılabilir bir kimlik doğrulama ve erişim kontrolü çerçevesidir. Bir güvenlik danışma belgesinde Spring Security geliştiricileri, istatistiksel kaynaklarda Spring Security yetkilendirme kurallarını kullanan Spring Webflux uygulamalarında belirli koşullar altında bu kuralların atlanabileceği konusunda uyarıyor (CVE-2024-38821, CVSS) 9.1“Risk”eleştirmenÖzellikle, Spring'in statik kaynaklara yönelik desteğini kullanan ve bu statik kaynaklar için “hepsine izin verme” kuralını uygulayan bir Webflux uygulaması olmalıdır.
Spring Security: Savunmasız sürümler
Güvenlik açığı Spring Security 5.7.0-5.7.12, 5.8.0-5.8.14, 6.0.0-6.0.12, 6.1.0-6.1.10, 6.2.0-6.2.6, 6.3.0-6.3'ü etkiliyor .3 ve artık desteklenmeyen önceki sürümler. 5.7.13, 5.8.15, 6.0.13 ve 6.1.11 sürümleri Kurumsal destekle mevcuttur. Güncellenmiş 6.2.7 ve 6.3.4 sürümleri açık kaynaklı yazılım olarak mevcuttur.
Spring Security'yi kullananlar, kapattıkları güvenlik açığı kritik bir risk olarak sınıflandırıldığından, şu anda mevcut olan güncellemeleri hızlı bir şekilde indirip yüklemelidir. Aksi takdirde saldırganlar bu güvenlik açığını kolaylıkla kötüye kullanabilirler.
VMware Tanzu Spring Framework'te sıklıkla güvenlik açıkları bulunmaktadır. Mart ayında güncellemeler, geliştiricilerin zaten doldurmak istediği bir güvenlik açığını kapattı. Ancak, daha fazla güncelleme gerektirecek şekilde başka şekillerde kötüye kullanılması da mümkündü.
(Bilmiyorum)
Duyuru
Spring Security, esasen Spring tabanlı uygulamaların güvenliğini sağlamak için standart olan, yüksek derecede yapılandırılabilir bir kimlik doğrulama ve erişim kontrolü çerçevesidir. Bir güvenlik danışma belgesinde Spring Security geliştiricileri, istatistiksel kaynaklarda Spring Security yetkilendirme kurallarını kullanan Spring Webflux uygulamalarında belirli koşullar altında bu kuralların atlanabileceği konusunda uyarıyor (CVE-2024-38821, CVSS) 9.1“Risk”eleştirmenÖzellikle, Spring'in statik kaynaklara yönelik desteğini kullanan ve bu statik kaynaklar için “hepsine izin verme” kuralını uygulayan bir Webflux uygulaması olmalıdır.
Spring Security: Savunmasız sürümler
Güvenlik açığı Spring Security 5.7.0-5.7.12, 5.8.0-5.8.14, 6.0.0-6.0.12, 6.1.0-6.1.10, 6.2.0-6.2.6, 6.3.0-6.3'ü etkiliyor .3 ve artık desteklenmeyen önceki sürümler. 5.7.13, 5.8.15, 6.0.13 ve 6.1.11 sürümleri Kurumsal destekle mevcuttur. Güncellenmiş 6.2.7 ve 6.3.4 sürümleri açık kaynaklı yazılım olarak mevcuttur.
Spring Security'yi kullananlar, kapattıkları güvenlik açığı kritik bir risk olarak sınıflandırıldığından, şu anda mevcut olan güncellemeleri hızlı bir şekilde indirip yüklemelidir. Aksi takdirde saldırganlar bu güvenlik açığını kolaylıkla kötüye kullanabilirler.
VMware Tanzu Spring Framework'te sıklıkla güvenlik açıkları bulunmaktadır. Mart ayında güncellemeler, geliştiricilerin zaten doldurmak istediği bir güvenlik açığını kapattı. Ancak, daha fazla güncelleme gerektirecek şekilde başka şekillerde kötüye kullanılması da mümkündü.
(Bilmiyorum)