「Spring Framework」にサービス拒否の脆弱性
「Spring Framework」において、サービス拒否の状態に陥るおそれがある脆弱性が明らかとなった。アップデートが提供されている。
「Spring MVC」を使用し、「Spring Security 6.2.1」「同6.1.6」がクラスパス上にある場合に、ユーザーが細工したHTTPリクエストを送信することでサービス拒否を引き起こすことが可能となる脆弱性「CVE-2024-22233」が判明したもの。
「同6.1.2」「同6.0.15」のみ影響があり、以前のバージョンは影響を受けないとしている。
CVE番号を採番したVMwareでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「7.5」と評価、重要度を「高(High)」とレーティングしている。
開発チームでは、「同6.1.3」「同6.0.16」にて対策を講じており、利用者にアップデートを呼びかけている。
(Security NEXT - 2024/01/31 )
ツイート
PR
関連記事
JPCERT/CC、オムロンPSIRTに感謝状 - 製品セキュリティ向上に貢献
iOS版「Firefox」にアップデート - 悪意あるページのPDF保存時に影響
「Django」にセキュリティ更新 - 複数の脆弱性に対応
「ServiceNow AI Platform」にRCE脆弱性 - 修正版を提供
高校で採点済み答案をグループウェアに誤掲載 - 宮城県
支援先事業者宛のメールで誤送信 - いばらき中小企業グローバル推進機構
委託先のサーバから個人情報が流出した可能性 - 韓流エンタメ会社
分散ストレージ基盤「NVIDIA AIStore Framework」に脆弱性
情報流出の可能性、影響など調査 - テレビ朝日子会社
Joomla向け機能拡張「iCagenda」「Balbooa Forms」の脆弱性悪用に注意
