Pivotal patcht Lücken im Spring Framework
Mehrere Versionen von Spring, einem Framework für die Entwicklung von Java-Anwendungen, weisen schwere Sicherheitslücken auf. Neue, gefixte Versionen sind verfügbar.
Im Spring Development Framework, einem quelloffenen Framework für die plattformübergreifende Entwicklung von Java-Anwendungen, klaffen drei Sicherheitslücken. Wie einem Sicherheitshinweis von Pivotal Software zu entnehmen ist, sind alle Versionen von 5.0 bis 5.0.4 sowie von 4.3 bis 4.3.14 (jeweils inklusive der erst- und letztgenannten Versionsnummer) betroffen.
Eine der Lücken wird als kritisch beschrieben und könnte zur Durchführung eines Remote-Code-Execution-Angriffs auf Anwendungen missbraucht werden, die auf Spring basieren. Das Framework wird unter anderem in der Wiki-Software Confluence eingesetzt und zur Entwicklung von Anwendungen für Oracles Fusion Middleware genutzt.
Die neuen Spring-Versionen 5.0.5 und 4.3.15 schließen die Lücken. Anwendungsentwickler sollten zügig umsteigen und aktualisierte Versionen bereits verfügbarer, auf Spring basierender Software bereitstellen. Anwender sollten ihrerseits nachprüfen, ob Updates verfügbar sind.
(ovw)