Честно ворую обновления из рабочих чатов) Касательно уязвимос | letsCode Channel
Честно ворую обновления из рабочих чатов)
Касательно уязвимости нулевого дня Spring4Shell. Вышел официальный пост от команды Spring Team с пояснениями. Ваше приложение уязвимо, если: - Вы используете JDK 9 или новее; - Вы используете Apache Tomcat как контейнер-сервлетов; - Вы собираете приложение как классический WAR (а не уже привычный jar, как в Spring Boot) - Вы используете spring-webmvc или spring-webflux завимиость; - Вы используете Spring Framework версий с 5.3.0 по 5.3.17, с 5.2.0 по 5.2.19 или более старые версии. В посте приведены примеры Java-конфигураций, чтобы гарантированно избежать эксплуатации уязвимости. Либо вы можете обновиться до последних версий зависимостей, которые вышли сегодня. https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement