Spring framework: major flaw

java, spring framework

0

2

FYI: уязвимость в Spring Framework, позволяющая удалённо запускать произвольный код:

http://www.networkworld.com/news/2013/011713-java-spring-framework-265923.html

https://bugzilla.redhat.com/show_bug.cgi?id=737608

«software developers whose applications build on Spring could be at risk and are advised to turn off the expression-language feature. ...
Spring will likely disable the expression-language feature by default in the next version»

Ссылка

←	Чем лучше организовать запуск приложений от имени другого юзера в Gentoo?

безопасное хранение cookies

→

Не очень понятно, это уязвимость или поведение by design, про которое некоторые разработчики не знали?

~~Legioner~~ ★★★★★
(19.01.13 19:27:57 MSK)
Последнее исправление: Legioner 19.01.13 19:28:20 MSK (всего исправлений: 1)

Всегда знал что в нем с магией доиграются. Стараюсь его избегать. Но баг конечно детский, так сразу и не подумаешь что он может быть в таком старом фреймворке

~~vertexua~~ ★★★★★
(19.01.13 19:51:39 MSK)

Ссылка

Ответ на: комментарий от Legioner 19.01.13 19:27:57 MSK

Не знаю, но похоже выражения считаются не один раз, а рекурсивно. Тоесть как я понял ${${applicationContext}} сработал, я бы такого не ожидал и тем более не пользовался.

~~vertexua~~ ★★★★★
(19.01.13 19:54:18 MSK)