Eine wichtige Schwachstelle in Spring Security ist nun aufgetaucht, so dass ein Update empfohlen ist.
oder bei Heise in Deutsch:
Wenn man bereits den seit Version 5.8 empfohlenen AuthorizationManager nutzt, dann ist man aber wohl nicht betroffen von diesem Problem.
(Die Lücke ist in AuthenticatedVoter, welcher ab 5.8 deprecated ist.)
Ein Update auf die letzte Version behebt diese Thematik aber:
CVE-2024-22257: Possible Broken Access Control in Spring Security With Direct Use of AuthenticatedVoter
Level up your Java code and explore what Spring can do for you.
spring.io
Spring Security: Zugriffskontrollmechanismen in Java-Framework kaputt
Die auf Sicherheitsmechanismen spezialisierte Unterbibliothek des Java-Entwicklungsframeworks kommt in manchen Fallen aus dem Tritt. Updates sind verfügbar.
www.heise.de
Wenn man bereits den seit Version 5.8 empfohlenen AuthorizationManager nutzt, dann ist man aber wohl nicht betroffen von diesem Problem.
(Die Lücke ist in AuthenticatedVoter, welcher ab 5.8 deprecated ist.)
Ein Update auf die letzte Version behebt diese Thematik aber:
Verwundbare Version | Version des Updates |
5.7.0 bis 5.7.11 | 5.7.12 |
5.8.0 bis 5.8.10 | 5.8.11 |
6.0.0 bis 6.0.9 | 6.0.10 |
6.1.0 bis 6.1.7 | 6.1.8 |
6.2.0 bis 6.2.2 | 6.2.3 |