VMware Tanzu Spring Security: امکان دور زدن قوانین مجوزدهی
در VMware Tanzu Spring Security، هکرها میتوانند از یک نقص امنیتی بحرانی سوءاستفاده کرده و قوانین مجوزدهی را دور بزنند. نسخه بهروزرسانیشدهی این نرمافزار برای رفع این نقص امنیتی آماده شده است.
Spring Security یک چارچوب گسترده و قابل پیکربندی برای احراز هویت و کنترل دسترسی است که تقریباً به عنوان استانداردی برای ایمنسازی برنامههای مبتنی بر Spring شناخته میشود. توسعهدهندگان Spring Security در اطلاعیه امنیتی هشدار دادهاند که در برخی شرایط، در برنامههای Spring Webflux که از قوانین مجوزدهی Spring Security برای منابع ثابت استفاده میکنند، این قوانین قابل دور زدن هستند. این مشکل بهویژه برای برنامههای Webflux که از پشتیبانی منابع ثابت در Spring استفاده کرده و یک قانون «عدم اجازه دسترسی کامل» برای این منابع اعمال کردهاند، بروز میکند.
Spring Security: نسخههای آسیبپذیر
این آسیبپذیری در نسخههای Spring Security از ۵.۷.۰ تا ۵.۷.۱۲، ۵.۸.۰ تا ۵.۸.۱۴، ۶.۰.۰ تا ۶.۰.۱۲، ۶.۱.۰ تا ۶.۱.۱۰، ۶.۲.۰ تا ۶.۲.۶ و ۶.۳.۰ تا ۶.۳.۳ و همچنین نسخههای قدیمیتر که دیگر پشتیبانی نمیشوند، وجود دارد. نسخههای ۵.۷.۱۳، ۵.۸.۱۵، ۶.۰.۱۳ و ۶.۱.۱۱ با پشتیبانی سازمانی در دسترس هستند. نسخههای بهروزرسانیشده ۶.۲.۷ و ۶.۳.۴ به صورت نرمافزار open source منتشر شدهاند.
مدیران سرور و همه ی کسانی که از Spring Security استفاده میکنند، باید بهروزرسانیهای موجود را به سرعت دانلود و نصب کنند، چرا که نفص در آپدیت برطرفشده است. نقص موجود به عنوان یک ریسک بحرانی طبقهبندی شده است. در صورت عدم به روزرسانی برنامه، مهاجمان بهراحتی میتوانند از این نقطه ضعف سوءاستفاده کنند.
