Java开发网 Java开发网
注册 | 登录 | 帮助 | 搜索 | 排行榜 | 发帖统计  

您没有登录

» Java开发网 » Java Security  

按打印兼容模式打印这个话题 打印话题    把这个话题寄给朋友 寄给朋友    该主题的所有更新都将Email到你的邮箱 订阅主题
flat modethreaded modego to previous topicgo to next topicgo to back
作者 Spring被爆漏洞,允许远程执行代码
阿熊

阿熊

元老


发贴: 5644
积分: 454
于 2013-01-28 11:14 user profilesend a private message to usersearch all posts byselect and copy to clipboard. ie only, sorry for netscape users:-)add this post to my favorite list
安全公司Aspect Security今天透露,在Spring框架的开发代码中,发现了一个重大的安全漏洞。

Aspect Security公司CEO杰夫•威廉姆斯(Jeff Williams)表示,该漏洞存在于Spring的“表达式语言”功能中,允许攻击者注入代码。

Aspect Security目前已经联合Spring开源社区来解决这一问题,但是到目前为止,还没有任何快速修复补丁放出。因此,使用Spring框架的应用程序可以存在安全隐患,建议开发者关闭表达式语言功能。

威廉姆斯称,Spring未来版本中将有可能默认不启用表达式语言功能,但是,目前存在的这个漏洞,如果被攻击者利用,可能会对应用程序产生大的威胁。这是非常危险的,攻击者可以完全接管一个Web应用程序,并在服务器上运行他们的代码。他还指出,该漏洞跟最近披露的浏览器Java漏洞无任何联系。

据提供开源组件的中央仓库Sonatype数据显示,目前已有超过2.2万个机构下载了超过130万次存在安全漏洞的Spring框架。

原文:http://www.infoworld.com/d/security/major-flaw-in-java-based-spring-framework-allows-remote-code-execution-attackers-211066



flat modethreaded modego to previous topicgo to next topicgo to back
  已读帖子
  新的帖子
  被删除的帖子
Jump to the top of page

   Powered by Jute Powerful Forum® Version Jute 1.5.6 Ent
Copyright © 2002-2021 Cjsdn Team. All Righits Reserved. 闽ICP备05005120号-1
客服电话 18559299278    客服信箱 714923@qq.com    客服QQ 714923