2022-04-01 08:07:05
Честно ворую обновления из рабочих чатов)
Касательно уязвимости нулевого дня Spring4Shell.
Вышел официальный пост от команды Spring Team с пояснениями.
Ваше приложение уязвимо, если:
- Вы используете JDK 9 или новее;
- Вы используете Apache Tomcat как контейнер-сервлетов;
- Вы собираете приложение как классический WAR (а не уже привычный jar, как в Spring Boot)
- Вы используете spring-webmvc или spring-webflux завимиость;
- Вы используете Spring Framework версий с 5.3.0 по 5.3.17, с 5.2.0 по 5.2.19 или более старые версии.
В посте приведены примеры Java-конфигураций, чтобы гарантированно избежать эксплуатации уязвимости. Либо вы можете обновиться до последних версий зависимостей, которые вышли сегодня.
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
4.2K views05:07