天创培训:您身边的信息安全培训专家!
开班计划
2018年6月CISP培训开班通知
主讲老师   张老师、王老师等
开课时间   2018年6月19日-24日
培训方式   实地/面授
授课天次   培训5天+考试半天
上课时间   09:00 -- 16:30
课程介绍 在线报名
Web渗透测试(高级)开班通知
主讲老师   张老师、高老师等
开课时间   2018年7月16日-31日
培训方式   实地/面授
授课天次   16天
上课时间   09:00 -- 17:00
课程介绍 在线报名
Web渗透测试(中级)开班通知
主讲老师   张老师、王老师等
开课时间   2018年6月11日-17日
培训方式   实地/面授
授课天次   7天
上课时间   09:00 -- 17:00
课程介绍 在线报名
CISP-PTE渗透测试工程师开班
主讲老师   张老师、高老师等
开课时间   2018年6月23日-30日
培训方式   实地/面授
授课天次   8天
上课时间   09:00 -- 17:00
课程介绍 在线报名
行业动态您当前位置:首页 > 最新动态 > 行业动态

开发人员需注意:Spring Data REST曝远程代码执行(RCE)漏洞

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2018-03-08  关键词:漏洞

  开发人员需注意:Spring Data REST曝远程代码执行(RCE)漏洞

  根据lgtm.com在上周四发布的博客文章来看,一个严重的远程代码执行(RCE)漏洞影响了Pivotal 公司旗下多个产品和组件。Pivotal 公司成立于2013年,其拥有的轻量级Java开发框架Spring是CISP培训世界上最流行的Web应用程序框架之一。

  lgtm.com的安全研究人员Man Yue Mo表示,如果某台计算机运行着使用Spring Data REST构建的应用程序,那么攻击者便可以利用这个漏洞在该计算机上执行任意命令。这个漏洞与Apache Struts中存在的漏洞类似,而后者曾在去年导致美国三大征信机构之一的Equifax公司遭遇了严重的数据泄露。

  据研究与分析公司RedMonk称,Pivotal公司的Spring Framework是构建Web应用程序最流行的平台之一。而Spring Data REST则是开发人员构建Java应用程序的附加组件集合,这些应用程序为底层Spring Data存储库提供RESTful API 。这种接口被非常广泛地使用,几乎每个现代Web应用程序都将包含通过REST接口进行通信的组件,比如在线旅行预订系统、移动应用程序和网上银行服务。

  此漏洞是与Data REST组件中Spring表达式语言(SpEL)的使用方式有关,由于缺少对用户输入的验证导致攻击者能够在任何运行使用Spring Data REST构建的应用程序的计算机上执行任意命令。

  漏洞被标识为CVE-2017-8046,早在去年9月份就已经被公开披露,但Pivotal 公司在最近再次对受影响的产品和组件列表进行了更新,这也使得一些安全公司再次对其进行了关注。

  Man Yue Mo解释说,Spring Data REST中的这个漏洞很不幸极其容易被利用。由于RESTful API通常可公开访问,因此它允许攻击者能够轻松地获得对目标计算机的控制权,并窃取用户的敏感数据。

  以下是受漏洞影响的Spring产品和组件(Pivotal 公司在3月6日更新的列表):

  Spring Data REST:2.6.9 (Ingalls SR9)、3.0.1 (Kay SR1)之前版本;

  Spring Boot(如果使用Spring Data REST模块):1.5.9、2.0 M6之前版本。

  Pivotal 公司在最新的公告中称,已针对受该漏洞影响的产品和组件发布了对应的安全补丁,并建议受影响用户尽快进行更新。




推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000