「Spring」関連で5件の脆弱性 - 3件が「クリティカル」

「simple STOMP broker」を有効化している環境において、WebSocket上でメッセージングプロトコル「STOMP（Streaming Text Oriented Messaging Protocol）」を処理した際、細工されたメッセージによってサービス拒否に陥るおそれがある。

同脆弱性は、リクルートテクノロジーズの西村宗晃氏が報告したもので、開発チームは、脆弱性に対応した「Spring Framework 5.0.6」「同4.3.17」をリリースした。

同じく重要度「高（High）」の脆弱性として「Spring Data Commons」において、XML外部実体参照（XXE）処理の脆弱性「CVE-2018-1259」があきらかになった。

任意のファイルへアクセスされるおそれがあるとし、「同2.0.7」「同1.13.12」をリリースしているほか、「XMLBeam 1.4.15」へのアップデートを呼びかけている。

（Security NEXT - 2018/05/11 ） ツイート

PR

関連記事

IBMのデータ変換プラットフォームに深刻な脆弱性 - 修正版を提供
米CISA、「Oracle EBS」関連など脆弱性7件を悪用リストに追加
「ウイルスバスター for Mac」の旧版に権限昇格の脆弱性
データ分析ツール「Apache Kylin」に認証回避の脆弱性
NoSQLデータベース「Redis」に複数脆弱性 - 「クリティカル」も
「Zabbix」のWindows向けエージェントに権限昇格の脆弱性
「Oracle E-Business Suite」が標的に - 更新や侵害状況の確認を
「Cisco ASA」狙うゼロデイ攻撃、5月に複数政府機関で確認
「MS Edge 141」がリリース - 12件の脆弱性を解消
「Termix」のDockerイメージにSSH認証情報が流出するおそれ