แพตช์ล่าสุดของ Spring Framework อุดช่องโหว่ระดับวิกฤติด้วย ควรเร่งอัพเดต

แพตช์ของ Spring Framework 4.3.14 และ 5.0.4 ออกมาตั้งแต่วันอังคารที่ผ่านมา แต่วันนี้ทาง Pivotal ก็ประกาศเพิ่มเติมว่าแพตช์ชุดนี้แก้ช่องโหว่ 3 รายการ โดยมีรายการหนึ่งเป็นช่องโหว่ระดับวิกฤติ เปิดทางให้แฮกเกอร์ส่งโค้ดเข้ามารันได้

ช่องโหว่ CVE-2018-1270 เปิดทางให้แฮกเกอร์ยิงข้อความที่สร้างเฉพาะเข้ามาในโมดูล spring-messaging หากมีกระบวนการยืนยันตัวคน เช่น Spring Security ก็จะจำกัดผู้โจมตีลงไปได้

อีกช่องโหว่ เป็นช่องโหว่ระดับสูง CVE-2018-1271 เปิดทางให้แฮกเกอร์สามารถอ่านไฟล์ได้เกินกว่าที่กำหนดไว้

โครงการที่ใช้ Spring Framework ควรเร่งอัพเดตโดยเร็ว

ที่มา: Blognone