安全動態(tài)

漏洞預(yù)警:Spring Boot框架表達(dá)式注入漏洞

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2016-07-12    瀏覽次數(shù):
 

信息來源:比特網(wǎng) 

       高危漏洞的曝光總是發(fā)生在意想不到的時刻:周末所有人都準(zhǔn)備享受周末的時間,Spring Boot框架的SpEL表達(dá)式注入通用漏洞曝光,利用該漏洞,遠(yuǎn)程攻擊者在服務(wù)器上可執(zhí)行任意命令——該漏洞影響Spring Boot版本從1.1-1.3.0,建議在使用存在此缺陷版本Spring Boot的企業(yè)立即將之升級至1.3.1或以上版本。

具體的漏洞預(yù)警報告如下:

影響范圍:Spring Boot版本1.1-1.3.0

修復(fù)方案:升級Spring Boot版本至1.3.1或以上版本

\

       Spring是2003年興起的輕量級Java開發(fā)框架。任何Java應(yīng)用都可以使用該框架的核心特性,在Java EE平臺之上有可用于構(gòu)建Web應(yīng)用的擴(kuò)展。

       而這里的Spring Boot則是Spring框架的一個核心子項目,是為構(gòu)建獨立、生產(chǎn)級Spring應(yīng)用的約定優(yōu)于配置(convention-over-configuration)解決方案。絕大部分Spring Boot應(yīng)用都只需要極少的Spring配置即可。

       Spring Boot能夠大大提升使用Spring框架時的開發(fā)效率,于是國內(nèi)很多企業(yè)在用它。國內(nèi)包括百度阿里巴巴騰訊等諸多知名企業(yè)都在使用該框架。

 
 

上一篇:賽門鐵克計劃攜云科服務(wù)打造云安全管理服務(wù)平臺

下一篇:2016年07月12日 聚銘安全速遞