Spring çerçevesinin kimlik doğrulama ve erişim kontrolü konusunda uzmanlaşmış bileşeni olan Spring Security, bazı durumlarda onun yardımıyla geliştirilen Java uygulamalarında güvenlik açıklarını açar.
Duyuru
Geliştiricilerin bir güvenlik danışma belgesinde belirttiği gibi, sınıf raporları AuthenticatedVoter Yanlışlıkla trueçağıran rutin ona boş bir kimlik doğrulama parametresi iletirse. Sınıf ayrıca Spring Security 5.8'den beri kullanımdan kaldırılmıştır. AuthorizationManager değiştirildi.
Beş sürüm ağacı etkilendi
CVE ID CVE-2024-22257 ve CVSS puanı 8,2 olan güvenlik açığı (Risk “yüksek“) çeşitli Spring Security sürümlerinde yer almaktadır ve artık güncellemelerle düzeltilmiştir. Yöneticiler, aşağıdaki tabloda güvenlik açığı bulunan ve düzeltilen sürümleri bulabilir.
|
Savunmasız sürüm |
Sürümü güncelle |
|
5.7.0 ila 5.7.11 |
5.7.12 |
|
5.8.0'dan 5.8.10'a |
5.8.11 |
|
6.0.0 ila 6.0.9 |
6.0.10 |
|
6.1.0 ila 6.1.7 |
6.1.8 |
|
6.2.0 ila 6.2.2 |
6.2.3 |
“Spring Security” çerçevesinin artık güncellemelerle birlikte sunulmayan eski sürümleri de etkilenmektedir; geliştiricilerin bunları daha yeni bir sürüme güncellemesi gerekir.
Kısa bir süre önce Spring geliştirme ekibi, URL doğrulamada yeni ve eski bir güvenlik açığını düzeltti.
(cku)
Bir yanıt yazın