Error de ejecución remota amenaza aplicaciones creadas con Spring

The Hacker News
06/04/2018

Investigadores de seguridad han descubierto tres vulnerabilidades en el framework de desarrollo de Spring, una de ellas es una falla crítica de ejecución remota de código que podría permitir a los atacantes ejecutar código arbitrario contra las aplicaciones creadas con él.

Spring es un framework popular, liviano y de código abierto para desarrollar aplicaciones empresariales basadas en Java.

En un aviso publicado hoy por Pivotal, la compañía detalla las tres siguientes vulnerabilidades descubiertas en Spring en las versiones 5.0 a 5.0.4, 4.3 a 4.3.14, y versiones anteriores no compatibles:

Crítico: ejecución remota de código con spring:message (CVE-2018-1270)

Alto: Recorrido de directorios con Spring MVC en Windows (CVE-2018-1271)

Baja: Contaminación de contenido multipartida con Spring Framework (CVE-2018-1272)

Las versiones vulnerables de Spring exponen a los clientes STOMP sobre los puntos finales del WebSocket con un intermediario en memoria STOMP a través del módulo spring:message, que podría permitir a un atacante enviar un mensaje malintencionado al intermediario, lo que llevaría a un ataque de ejecución de código remoto (CVE-2018-1270).

"El uso de autenticación y autorización de mensajes, como el proporcionado por Spring Security, puede limitar la exposición a esta vulnerabilidad solo a los usuarios que pueden usar la aplicación", sugiere la compañía.

El segundo error (CVE-2018-1271) reside en el modelo-vista-controlador de Spring Web (MVC) que permite a los atacantes ejecutar un ataque transversal de directorio y acceder a directorios restringidos cuando están configurados para servir recursos estáticos (por ejemplo, CSS, JS, imágenes) en un sistema de archivos de Windows.

Esta vulnerabilidad no funciona si no está utilizando Windows para servir contenido y puede evitarse si no sirve archivos del sistema o si utiliza Tomcat/WildFly como servidor.

Pivotal lanzó Spring Framework 5.0.5 y 4.3.15, que incluye soluciones para las tres vulnerabilidades. La compañía también lanzó Spring Boot 2.0.1 y 1.5.11, que coinciden con las versiones parchadas de Spring.

Por lo tanto, se recomienda ampliamente a desarrolladores y administradores que lleven a cabo la actualización de su software a las últimas versiones de inmediato.

Artículos relacionados: