zurück zum Artikel

Mehrere Versionen von Spring, einem Framework für die Entwicklung von Java-Anwendungen, weisen schwere Sicherheitslücken auf. Neue, gefixte Versionen sind verfügbar.

Im Spring Development Framework, einem quelloffenen Framework für die plattformübergreifende Entwicklung von Java-Anwendungen, klaffen drei Sicherheitslücken. Wie einem Sicherheitshinweis [1] von Pivotal Software zu entnehmen ist, sind alle Versionen von 5.0 bis 5.0.4 sowie von 4.3 bis 4.3.14 (jeweils inklusive der erst- und letztgenannten Versionsnummer) betroffen.

Eine der Lücken [2] wird als kritisch beschrieben und könnte zur Durchführung eines Remote-Code-Execution-Angriffs auf Anwendungen missbraucht werden, die auf Spring basieren. Das Framework wird unter anderem in der Wiki-Software Confluence [3] eingesetzt und zur Entwicklung von Anwendungen für Oracles Fusion Middleware [4] genutzt.

Die neuen Spring-Versionen 5.0.5 und 4.3.15 schließen die Lücken [5]. Anwendungsentwickler sollten zügig umsteigen und aktualisierte Versionen bereits verfügbarer, auf Spring basierender Software bereitstellen. Anwender sollten ihrerseits nachprüfen, ob Updates verfügbar sind.

(ovw [6])

URL dieses Artikels:
https://www.heise.de/-4012159

Links in diesem Artikel:
[1] https://spring.io/blog/2018/04/05/multiple-cve-reports-published-for-the-spring-framework
[2] https://pivotal.io/security/cve-2018-1270
[3] https://developer.atlassian.com/server/confluence/spring-ioc-in-confluence/
[4] http://www.oracle.com/technetwork/topics/index-092646.html
[5] https://spring.io/blog/2018/04/03/spring-framework-5-0-5-and-4-3-15-available-now
[6] mailto:olivia.von.westernhagen@gmail.com

Copyright © 2018 Heise Medien