「Spring」関連で5件の脆弱性 - 3件が「クリティカル」

「simple STOMP broker」を有効化している環境において、WebSocket上でメッセージングプロトコル「STOMP（Streaming Text Oriented Messaging Protocol）」を処理した際、細工されたメッセージによってサービス拒否に陥るおそれがある。

同脆弱性は、リクルートテクノロジーズの西村宗晃氏が報告したもので、開発チームは、脆弱性に対応した「Spring Framework 5.0.6」「同4.3.17」をリリースした。

同じく重要度「高（High）」の脆弱性として「Spring Data Commons」において、XML外部実体参照（XXE）処理の脆弱性「CVE-2018-1259」があきらかになった。

任意のファイルへアクセスされるおそれがあるとし、「同2.0.7」「同1.13.12」をリリースしているほか、「XMLBeam 1.4.15」へのアップデートを呼びかけている。

（Security NEXT - 2018/05/11 ） ツイート

PR

関連記事

WP向けメールマーケティングプラグインにSQLi脆弱性
HashiCorpのGo言語向けライブラリ「go-getter」に脆弱性
「PAN-OS」脆弱性に対する攻撃が増加 - コマンドで悪用試行を確認可能
Cisco、セキュリティアドバイザリ3件を公開 - 一部でPoCが公開済み
「Chrome 124」が公開 - セキュリティ関連で23件の修正
「Firefox 125.0.1」をリリース、脆弱性15件を修正
「PAN-OS」脆弱性の詳細や悪用コードが公開済み - 攻撃拡大のおそれ
「PAN-OS」脆弱性、攻撃条件を修正 - 一部緩和策が「効果なし」に
Oracle、「Java SE」に関する脆弱性13件を修正
Oracle、四半期定例パッチを公開 - のべ441件の脆弱性に対応