En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 04/10/2017
    Convention USF 2017

    L'événement annuel de référence de l’ensemble de l’écosystème SAP français aura lieu cette année les…

    en détail En détail...
  • 17/10/2017
    Mobility for Business

    7ème édition de Mobility for Business, le salon des solutions mobiles "pour une meilleure transformation…

    en détail En détail...
Appels d'offres en cours
  • Installation et paramétrage d'un serveur
    < 1 500 €
    > En savoir plus
  • Création d'un site de réservation dans la location d'un gîte
    < 3 000 €
    > En savoir plus
  • Création d'un site e-commerce pour une boutique de prêt-à-porter
    < 1000 €
    > En savoir plus
Paessler_Restez-au-top-Securite_Leaderboard

Une faille majeure découverte dans Spring

GlobalK_Nutanix_pavé

L'entreprise de sécurité Aspect Security a détecté une faille majeure dans le framework Spring.  La vulnérabilité se situe dans la fonctionnalité « expression language », et permet l'injection de code à distance. Ainsi, d'après le CEO d'Aspect Security. « Une application web pourrait être entièrement détournée par des attaquants et servir à exécuter du code malveillant sur le serveur ».

Selon Aspect Security, cette faille n'est pas facile à exploiter, ce qui bien entendu ne découragera pas  les cybercriminels motivés. Malheureusement, la vulnérabilité semble également difficile à patcher. Le projet Spring travaille activement à le recherche d'une solution.

Selon marketwire.com qui a rapporté l'information, 22 000 entreprises seraient sous la menace de cette faille. Les plus menacées étant les entreprises qui utilisent Spring 3.0.5 ou inférieur, car ses moutures ne supportent pas la désactivation de la double résolution de Expression Language.

Mise à jour :

VMWare nous a contacté pour nous communiquer les précisions suivantes au sujet de cette faille dans Spring:

Bien que la découverte de Aspect Security soit en effet récente, un correctif publié par SpringSource existe depuis longtemps. Il a été mis à disposition dès 2011, quand cette faille a été découverte pour la première fois. Dan Amadio d'Aspect Security nous a récemment fait part de la possibilité d'exécuter du code à distance et SpringSource a donc mis à jour le bulletin de sécurité (12-06-2012) avec les dernières informations d'Aspect Security. Pour autant, le palliatif exposé dans le premier rapport de sécurité reste applicable.

Ce correctif est automatiquement présent dans les versions 3.1+ du framework Spring. Ceci n'est plus un problème pour les utilisateurs de Spring qui ont pris les mesures nécessaires dès la première publication du rapport en septembre 2011.

Par ailleurs, cette faille n'affecte qu'une infime partie des versions de Spring. Il suffit aux utilisateurs du framework de mettre à jour leur version (opération de maintenance, très simple). A titre d'exemple, la marche à suivre est détaillée plus bas.

La mise à jour régulière vers les dernières versions de maintenance est une procédure bien connue de tout utilisateur responsable.

La faille affecte uniquement les versions (anciennes) suivantes:

* 3.0.0 à 3.0.5 — la mise à jour en 3.0.6 corrige le problème

* 2.5.0 à 2.5.6.SEC02 (community release) — la mise à joour en 2.5.6.SEC03 corrige le problème

* 2.5.0 à 2.5.7.SR01 (clients SpringSource) — la mise à jour en 2.5.7.SR02 corrige le problème

A titre indicatif, la version actuelle du framework Spring est 3.2, rendue disponible en décembre 2012.

Auteur : Frédéric Mazué

Une faille majeure découverte dans Spring
Notez cet article

Laisser un commentaire

Intégrer une solution de communication unifiée

La communication remplace la simple téléphonie, avec intégration des e-mails, téléphone fixe et mobile, chat, visioconférence, social média, web…

Lire le livre-blanc

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Qualcomm demande l'arrêt des importations aux Etats-Unis de certains iPhone

    La guerre continue entre Apple et Qualcomm, qui demande l'arrêt des importations de certains iPhones…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Quatre conseils avisés pour un été en toute sécurité

    Christophe Auberger, directeur technique France, Fortinet, propose quatre bonnes pratiques de cybersécurité à adopter pour…

    > En savoir plus...
Etudes/Enquêtes
  • Les dépenses IT dopées par le Cloud, les mobiles et les logiciels en 2017

    Les dépenses IT mondiales devraient augmenter de 4,5 % en 2017, selon IDC. Une amélioration…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
elo_processus pointe_skyscraper
Agenda
livres blancs
Les Livres
Blancs
  • Guide du Service Management pour le DSI à l’ère mobile

    > Voir le livre
  • Menaces avancées, découvrez les techniques de détection avancée

    > Voir le livre
GlobalK_Cloud_Skycraper