Schwachstelle Spring Framework

KonradN

KonradN

Super-Moderator
Mitarbeiter
Und es gibt wieder neue Bugfixes für das Spring Framework, die Relevant sind für die Sicherheit der Anwendung:

spring.io

CVE-2023-34034: WebFlux Security Bypass With Un-Prefixed Double Wildcard Pattern

Level up your Java code and explore what Spring can do for you.
spring.io spring.io
Using "**" as a pattern in Spring Security configuration for WebFlux creates a mismatch in pattern matching between Spring Security and Spring WebFlux, and the potential for a security bypass.
Zum Vergrößern anklicken....

spring.io

CVE-2023-34035: Authorization rules can be misconfigured when using multiple servlets

Level up your Java code and explore what Spring can do for you.
spring.io spring.io
Severity is high unless otherwise noted.

Spring Security versions 5.8 prior to 5.8.5, 6.0 prior to 6.0.5 and 6.1 prior to 6.1.2 could be susceptible to authorization rule misconfiguration if the application uses requestMatchers(String) and multiple servlets, one of them being Spring MVC’s DispatcherServlet.
Zum Vergrößern anklicken....

Daher ist es mal wieder wichtig, dass man auf die letzte, aktuelle Version wechselt.

An der Stelle evtl. der Tipp, dass man in das Projekt eine automatische Prüfung der Versionen einbaut. In Maven kann dies z.B. mit dem codehaus Plugin funktionieren:
XML: 
                <groupId>org.codehaus.mojo</groupId>
                <artifactId>versions-maven-plugin</artifactId>

Eine mögliche Alternative kann auch das Scannen der Projekte mit einem entsprechenden Scanner sein. Snyk prüft z.B. auch Abhängigkeiten bezüglich bekannter Sicherheitslücken.
 
Ähnliche Java Themen
  Titel Forum Antworten Datum
KonradN Spring Schwachstelle im Spring Framework (5 und 6) Allgemeines EE 1
KonradN Schwachstelle Spring Security: cve-2024-22257 Allgemeines EE 0
D Spring, Jakarta... Unterschiede Allgemeines EE 5
Oneixee5 JSON für Spring Boot Endpunkte erzeugen Allgemeines EE 8
KonradN Spring 6 verfügbar Allgemeines EE 0
KonradN Spring Spring Applikation mit module-info Allgemeines EE 6
D Spring 3 vs. Java EE 6 Allgemeines EE 33
R Wie Spring in Eclipse Galileo installieren? Allgemeines EE 5
S JSTL / Spring Webflow Frage Allgemeines EE 2
K adding spring to struts2 - Spring2 Allgemeines EE 7
S Grundverständnis Spring MVC Allgemeines EE 3
M Spring: Bean als Webservice freigeben Allgemeines EE 9
ARadauer midle tier spring rmi remoting - security Allgemeines EE 2
D Erst Spring oder erst Hibernate lernen? Allgemeines EE 2
D Java EE vs. Spring/Hibernate Allgemeines EE 26
byte Remote Lazy Loading mit Spring und Hibernate Allgemeines EE 5
G JSF, Hibernate, Spring --> Struktur Allgemeines EE 2
S allgemeine Frage zu Spring (AOP) Allgemeines EE 2
A Spring und Swing Allgemeines EE 2
B Spring: Verz. "images" in Web-INF über URL verfügb Allgemeines EE 5
S JSF Navigation - Alternative zu Spring Webflow Allgemeines EE 6
W Spring mit JSF und Facelets? Allgemeines EE 1
Ö Spring, Probleme mit FlowScope und HttpServletRequest Allgemeines EE 2
netspy Struts, Spring oder ... ? Allgemeines EE 5
T Sauberes, modernes JEE Framework gesucht Allgemeines EE 1
P Welche Technik/Framework/Zauberei ist das? Allgemeines EE 1
S Play Framework: Redirect im Routing auf Scala Seite Allgemeines EE 0
N Eigenes Framework Allgemeines EE 6
O Framework Designfrage Allgemeines EE 11
-MacNuke- Framework-Gewusel entwuseln. Allgemeines EE 35
G Framework für selbsterstellte Formular und Seiten gesucht Allgemeines EE 3
G Framework-unabhängige Validierung Allgemeines EE 12
A Welches Framework könnt ihr empfehlen? Allgemeines EE 12
K MVC Framework Allgemeines EE 5
P keine verbindung vom struts framework zu mysql Allgemeines EE 2
T Suche Framework Allgemeines EE 5
ronny "jWic" Projekt: Framework für Webapplikationen Allgemeines EE 8

Ähnliche Java Themen

Aktuelle Jobs

Neue Themen


Oben