Logo
Imprimir esta página

Vulnerabilidade Java Spring: Salt Security explica

Vulnerabilidade Java Spring: Salt Security explica

O que aconteceu, quem é vulnerável e como mitigar os riscos

Na última terça-feira, dia 29 de março, um pesquisador chinês postou várias capturas de tela em sua conta no Twitter mostrando uma vulnerabilidade de execução remota de código na biblioteca Spring Core Java. Essa é uma das estruturas Java mais populares e mais utilizadas, presente em cerca de 70% de todas as aplicações Java. Portanto, qualquer problema de segurança encontrado em suas funcionalidades principais é fonte de muita preocupação.

A equipe da Salt Labs, ligada à Salt Security, empresa que há cinco anos criou e desde então lidera o mercado de segurança de API, detalha o problema, alerta quem pode ser impactado e oferece dicas para minimizar o risco de um ataque bem-sucedido, o que permitiria acessar todos os dados internos do site, incluindo possível acesso a qualquer banco de dados conectado. A brecha também permite que um invasor encontre recursos internos adicionais para obter mais permissões ou ingressar em outras partes da rede interna.

Quem é vulnerável?

Várias condições devem ser atendidas para explorar um aplicativo Java em execução. Os mais básicos são:

- Aplicativos Java executando versão Spring até 5.3.17 ou 5.2.19 (inclusive), dependendo da variante que você está executando
- Aplicações Java em execução no JDK 9 ou superior

Descrição da vulnerabilidade

A vulnerabilidade Spring4Shell está abusando de uma funcionalidade da anotação RequestMapping da Spring. A condição vulnerável ocorre quando o RequestMapping é usado em conjunto com objetos Java tradicionais (também chamados de POJO – "Plain Old Java Object") como parâmetro do manipulador. De forma simplificada: a vulnerabilidade Spring4Shell permite a injeção de objetos Java em manipuladores de solicitação legítimos, abrindo a porta para exploração do servidor.

Como proteger as aplicações Java?

A Spring anunciou um patch de emergência para essa vulnerabilidade, nas versões Primavera 5.3.18 e 5.2.20, dependendo da variante que você está usando. A equipe da Salt Labs encoraja que todos os projetos baseados em Primavera sejam atualizados para essas versões mais recentes.

Sobre a Salt Security

A Salt Security protege as APIs que formam o núcleo de todas as aplicações modernas. Sua Plataforma de Proteção de API é a primeira solução patenteada do setor para evitar a próxima geração de ataques de API, usando aprendizado de máquina e IA para identificar e proteger automaticamente e continuamente as APIs. Implantada em minutos, a plataforma Salt Security aprende o comportamento granular das APIs de uma empresa e não requer configuração ou personalização para identificar e bloquear os atacantes de API. A Salt Security foi fundada em 2016 por ex-alunos das Forças de Defesa israelenses (IDF) e executivos de empreendedores no campo da cibersegurança, estando sediada no Vale do Silício e em Israel. Para mais informações, visite https://salt.security.


Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
 https://www.facebook.com/groups/portalnacional/

<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. -  Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>

Copyright Clipping ©2002-2025 - SEGS Portal Nacional de Seguros, Saúde, Veículos, Informática, Info, Ti, Educação, Eventos, Agronegócio, Economia, Turismo, Viagens, Vagas, Agro e Entretenimento. - Todos os direitos reservados.- www.SEGS.com.br - IMPORTANTE:: Antes de Usar o Segs, Leia Todos os Termos de Uso.
SEGS é compatível com Browsers Google Chrome, Firefox, Opera, Psafe, Safari, Edge, Internet Explorer 11 - (At: Não use Internet Explorer 10 ou anteriores, além de não ter segurança em seu PC, o SEGS é incompatível)
Por Maior Velocidade e Mais Segurança, ABRA - AQUI E ATUALIZE o seu NAVEGADOR(Browser) é Gratuíto