Các nhà nghiên cứu bảo mật đã phát hiện ra ba lỗ hổng trong Spring Development Framework, trong số đó có một lỗ hổng nghiêm trọng cho phép kẻ tấn công từ xa thực hiện mã tùy ý đối với các ứng dụng xây dựng bằng Spring Framework.

Spring Framework là một framework mã nguồn mở phổ biến và nhẹ, được dùng để phát triển các ứng dụng doanh nghiệp dựa trên Java.

Nguy cơ tiềm ẩn của các ứng dụng xây dựng bằng Spring Framework
Spring Framework logo

Trong một thông báo được Pivotal phát hành ngày 06/04/2018, công ty đã mô tả chi tiết mức độ ảnh hưởng của ba lỗ hổng được phát hiện trong các phiên bản Spring Framework 5.0 đến 5.0.4, phiên bản 4.3 đến 4.3.14 và những phiên bản cũ không được hỗ trợ:

  • Nghiêm trọng: Xử lý mã từ xa với spring-messaging (CVE-2018-1270)
  • Cao: Thư mục Traversal với Spring MVC trên Windows (CVE-2018-1271)
  • Thấp: Multipart Content Pollution với Spring Framework (CVE-2018-1272)

Các phiên bản Spring Framework làm lộ STOMP client qua các điểm cuối của WebSocket với một in-memory STOMP broker thông qua mô-đun “spring-messaging”. Điều này cho phép kẻ tấn công gửi một thông báo độc hại tới broker và kết quả dẫn đến một cuộc tấn công mã lệnh từ xa (CVE -2018-1270).

Công ty cho biết: “Việc sử dụng chứng thực và ủy quyền của các tin nhắn cung cấp bởi Spring Security có thể hạn chế sự tiếp xúc của những lỗ hổng này đối với người dùng được phép sử dụng ứng dụng.”

Bug thứ hai (CVE-2018-1271) nằm trong mô hình Web model-view-controller của Spring. Lỗ hổng này cho phép tin tặc thực hiện tấn công tra cứu thư mục và truy cập các thư mục được định cấu hình để phục vụ các tài nguyên tĩnh (ví dụ, CSS, JS, hình ảnh) từ một hệ thống tệp trên Windows.

Lỗ hổng này sẽ không được kích hoạt nếu bạn không sử dụng Windows để phục vụ nội dung hoặc bạn có thể tránh lỗ hổng này bằng việc không phục vụ các tệp từ hệ thống tệp hoặc sử dụng Tomcat / WildFly làm máy chủ.

Pivotal đã phát hành Spring Framework 5.0.5 và 4.3.15, bao gồm các bản sửa lỗi cho cả ba lỗ hổng này. Công ty cũng đã phát hành Spring Boot 2.0.1 và 1.5.11, phù hợp với phiên bản Spring Framework đã vá.

Vì vậy, các nhà phát triển và quản trị viên được khuyên nên nâng cấp phần mềm của họ lên các phiên bản mới nhất ngay lập tức để giữ an toàn cho các ứng dụng xây dựng bằng Spring Framework.

> Giải pháp bảo mật toàn diện dành cho website, đăng ký miễn phí 14-ngày tại đây <