677307
По каналам Национального координационного центра по компьютерным инцидентам (НКЦКИ) получены сведения о наличии уязвимости «нулевого дня» во фреймворке для разработки Java-приложений - Spring Framework. В открытом доступе присутствуют средства эксплуатации данной уязвимости.
Обнаруженная уязвимость носит название Spring4Shell, но индентификатор CVE ей ещё не присвоен. Указанное название она получила по аналогии с наименованием уязвимости Log4Shell в виду схожести механизма внедрения исполняемого кода. Удаленный злоумышленник посредством отправки специально сформированных запросов может получить доступ к объекту AccessLogValve, отвечающему за создание журнала доступа к веб-серверу, переопределить параметры логирования и в последующем направить вредоносный запрос на создание JSP-файла, представляющего из себя удаленный исполняемый файл.
Для эксплуатации уязвимости необходимо два условия: использование фреймворка Spring MVC framework и комплекта разработчика Java Development Kit (JDK) версии 9.0 и выше.
Рекомендации по нейтрализации угрозы приведены в бюллетене НКЦКИ.
| Скачать бюллетень НКЦКИ в формате PDF: |  |
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
