Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Spring Framework」にサービス拒否の脆弱性

「Spring Framework」において、サービス拒否の状態に陥るおそれがある脆弱性が明らかとなった。アップデートが提供されている。

「Spring MVC」を使用し、「Spring Security 6.2.1」「同6.1.6」がクラスパス上にある場合に、ユーザーが細工したHTTPリクエストを送信することでサービス拒否を引き起こすことが可能となる脆弱性「CVE-2024-22233」が判明したもの。

「同6.1.2」「同6.0.15」のみ影響があり、以前のバージョンは影響を受けないとしている。

CVE番号を採番したVMwareでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「7.5」と評価、重要度を「高(High)」とレーティングしている。

開発チームでは、「同6.1.3」「同6.0.16」にて対策を講じており、利用者にアップデートを呼びかけている。

(Security NEXT - 2024/01/31 ) このエントリーをはてなブックマークに追加

PR

関連記事

ワークフロー管理の「Apache DolphinScheduler」に脆弱性
Atlassian、「Confluence」など複数製品にセキュリティアップデート
GitLabが2月2度目のアップデート、脆弱性やバグに対応
ランサムリークサイト、年間約4000件の投稿 - 身代金支払うも約2割で反古
ランサムウェア被害のイズミ、完全復旧目標は5月1日
イズミ、ランサム被害で宅配など一部サービスを停止 - 新店舗オープンを延期
サイクリングイベント申込フォームでミス、個人情報が流出 - 倉敷市
コンテスト入賞作品を撤収中に紛失、その後返還 - 鳥取県
事務連絡メールに7468人分の個人情報含む送付先一覧を誤添付 - 大阪市
受講システムで受講者の情報閲覧権限に設定ミス - ラック