Стало известно о серьезной уязвимости в одном из компонентов популярного фреймворка Pivotal Spring. Ошибка была выявлена и пропатчена еще осенью, однако вендор не спешил предавать ее огласке прежде, чем клиенты обновят свои системы.

Проблема касается Spring Data REST — комплекта плагинов для разработки Java-приложений, работающих с распределенными базами данных. Брешь заключалась в интерпретаторе SpEL — внутреннего языка системы. Ее эксплуатация позволяла злоумышленнику выполнить произвольный код на любом сервере, использующем скомпрометированные компоненты.

REST-серверы на базе Spring активно задействуются при обработке больших объемов информации. Приложения, созданные на основе популярного фреймворка, часто применяются для хранения персональных данных. Успешная атака на подобные системы может привести к краже сведений о банковских картах и финансовых транзакциях миллионов пользователей.

Ошибка CVE-2017-8046 затрагивает большое количество проектов, разработанных с использованием Pivotal Spring. Уязвимость присутствует в Data REST популярных сборок 2.5.12, 2.6.7 и младше. В финальном релизе версии 3.0 дыру уже залатали, но в последнем Release Candidate она еще сохранялась. Апдейт потребовался и другому компоненту фреймворка — специальный патч был выпущен для модуля Spring Boot.

Нежелание разработчиков оперативно выкладывать информацию о проблеме в свободный доступ вполне понятно — ошибка напоминает нашумевший баг в серверах Apache Struts. Атака, которая эксплуатировала эту уязвимость, привела к краже сведений о 145 млн клиентов американского кредитного бюро Equifax. Создатели Pivotal Springs проявили осторожность, желая убедиться, что обновление установлено на максимальное количество систем, доступных онлайн.

Категории: Уязвимости