bencede
New member
VMware Tanzu Spring yama güvenlik açıklarına yönelik güncellemeler. Bunlardan biri kritik, diğeri yüksek riskli olarak kabul edilir. Yöneticiler güncellemeleri hızlı bir şekilde uygulamalıdır.
Duyuru
VMware Tanzu, container mimarisine alınmış uygulamalar için bir sanallaştırma çözümü olarak hizmet vermektedir. Bunlar Java Spring Framework’ü kullanır, dolayısıyla bunlar JVM’deki (Java Virtual Machine) Java uygulamalarıdır.
Bir VMWare Tanzu Spring güvenlik açığı tanıdık geliyor
Bir güvenlik açığı, Mart ayında zaten kapatılmış olan CVE-2023-20860 güvenlik açığının tekrarı gibi geliyor: Spring Security yapılandırmasında bir model olarak çift joker karakter “**” kullanılması, Spring Security ile Spring Webflux arasında, sigorta atlama olasılığını açan sapkın bir model eşleşmesi oluşturur (CVE-2023-34034, CVSS) 9.1risk”eleştirmen“).
Spring Security sürümleri 6.1.2, 6.0.5, 5.8.5, 5.7.10 ve 5.6.12 veya sonraki sürümleri güvenlik açığını kapatır. Güvenlik bildirimine göre, Spring Framework sürümleri 6.0.11, 5.3.29 veya 5.2.25 veya üzeri gereklidir.
Spring Security ayrıca, uygulama yanlış yapılandırılmış yetkilendirme kurallarına karşı savunmasız olabilir. requestMatchers(String) ve birden çok sunucu uygulaması kullanır, bunlardan biri Spring MVC’nin DispatcherServlet’idir. Diğer bir alt koşul ise Spring MVC’nin sınıf yolunda olması gerektiğidir (CVE-.2023-34035, CVSS 7.3, yüksek). Güvenlik raporuna göre, Spring Security 6.1.2, 6.0.5 ve 5.8.5 sürümleri sorunu çözüyor.
BT yöneticileri, mevcut güncellemeleri hızlı bir şekilde indirmeli ve kurmalıdır. Aksi takdirde, bunları kurmak siber suçlulara gereksiz yere geniş bir saldırı yüzeyi sağlar.
Duyuru
(dmk)
Haberin Sonu
Duyuru
VMware Tanzu, container mimarisine alınmış uygulamalar için bir sanallaştırma çözümü olarak hizmet vermektedir. Bunlar Java Spring Framework’ü kullanır, dolayısıyla bunlar JVM’deki (Java Virtual Machine) Java uygulamalarıdır.
Bir VMWare Tanzu Spring güvenlik açığı tanıdık geliyor
Bir güvenlik açığı, Mart ayında zaten kapatılmış olan CVE-2023-20860 güvenlik açığının tekrarı gibi geliyor: Spring Security yapılandırmasında bir model olarak çift joker karakter “**” kullanılması, Spring Security ile Spring Webflux arasında, sigorta atlama olasılığını açan sapkın bir model eşleşmesi oluşturur (CVE-2023-34034, CVSS) 9.1risk”eleştirmen“).
Spring Security sürümleri 6.1.2, 6.0.5, 5.8.5, 5.7.10 ve 5.6.12 veya sonraki sürümleri güvenlik açığını kapatır. Güvenlik bildirimine göre, Spring Framework sürümleri 6.0.11, 5.3.29 veya 5.2.25 veya üzeri gereklidir.
Spring Security ayrıca, uygulama yanlış yapılandırılmış yetkilendirme kurallarına karşı savunmasız olabilir. requestMatchers(String) ve birden çok sunucu uygulaması kullanır, bunlardan biri Spring MVC’nin DispatcherServlet’idir. Diğer bir alt koşul ise Spring MVC’nin sınıf yolunda olması gerektiğidir (CVE-.2023-34035, CVSS 7.3, yüksek). Güvenlik raporuna göre, Spring Security 6.1.2, 6.0.5 ve 5.8.5 sürümleri sorunu çözüyor.
BT yöneticileri, mevcut güncellemeleri hızlı bir şekilde indirmeli ve kurmalıdır. Aksi takdirde, bunları kurmak siber suçlulara gereksiz yere geniş bir saldırı yüzeyi sağlar.
Duyuru
(dmk)
Haberin Sonu