「Spring」関連で5件の脆弱性 - 3件が「クリティカル」
「simple STOMP broker」を有効化している環境において、WebSocket上でメッセージングプロトコル「STOMP(Streaming Text Oriented Messaging Protocol)」を処理した際、細工されたメッセージによってサービス拒否に陥るおそれがある。
同脆弱性は、リクルートテクノロジーズの西村宗晃氏が報告したもので、開発チームは、脆弱性に対応した「Spring Framework 5.0.6」「同4.3.17」をリリースした。
同じく重要度「高(High)」の脆弱性として「Spring Data Commons」において、XML外部実体参照(XXE)処理の脆弱性「CVE-2018-1259」があきらかになった。
任意のファイルへアクセスされるおそれがあるとし、「同2.0.7」「同1.13.12」をリリースしているほか、「XMLBeam 1.4.15」へのアップデートを呼びかけている。
(Security NEXT - 2018/05/11 )
ツイート
PR
関連記事
「Cisco NDFC」に深刻な脆弱性 - 管理下の機器でコマンド実行のおそれ
コラボツール「Zimbra」に深刻な脆弱性 - すでに実証コードも
Ivanti製エンドポイント管理製品の脆弱性、悪用が判明
「Chrome」にセキュリティアップデート - 4件の修正を実施
「Firefox 131」が公開 - 脆弱性13件を解消
「Flowise」のチャットボットライブラリに脆弱性 - アップデートを
「MS Edge」にセキュリティアップデート - 脆弱性4件を修正
400近いエプソン製プリンタやスキャナに脆弱性 - 管理者パスワードの設定を
寄付プラグイン「GiveWP」にRCE脆弱性 - 最新版へ更新を
「WordPress」向け寄付プラグインに深刻な脆弱性