Bahar Bulutu Veri Akışı Saldırganların Sunucuyu Ele Geçirmesine İzin Verir


Cloud Foundry ve Kubernetes’te akış ve toplu veri işlemeye yönelik mikro hizmet tabanlı bir platform olan Spring Cloud Data Flow’da kritik bir güvenlik açığı keşfedildi.

Skipper sunucu bileşeninde tanımlanan kusur, saldırganların yükleme yolunun uygun olmayan şekilde temizlenmesinden yararlanarak sunucunun güvenliğini aşmasına olanak tanıyor.

CVE-2024-22263: Spring Cloud Veri Akışında Rastgele Dosya Yazma Güvenlik Açığı

Spring Cloud Data Flow’daki Skipper sunucusu, yükleme paketi isteklerini alacak şekilde tasarlanmıştır.

All-in-One Cybersecurity Platform for MSPs to provide full breach protection with a single tool, Watch a Full Demo 

Ancak, yükleme yolunun yeterince temizlenmemesi nedeniyle, Skipper sunucusu API’sine erişimi olan kötü niyetli bir kullanıcı, dosya sistemindeki herhangi bir konuma rastgele dosyalar yazan bir yükleme isteği oluşturabilir.

Bu güvenlik açığı potansiyel olarak sunucunun tamamının ele geçirilmesine yol açabilir.

Güvenlik açığı Spring Cloud Skipper’ın aşağıdaki sürümlerini etkiliyor:

Bu güvenlik açığını azaltmak için etkilenen kullanıcıların ilgili sabit sürüme yükseltme yapması gerekir.

Sabit versiyonlar aşağıdaki gibidir:

Etkilenen Sürümler Sürümü Onar Kullanılabilirlik
2.11.x 2.11.3 ÖSS
2.10.x 2.11.3 ÖSS

Spring Cloud Data Flow kullanıcılarının, sistemlerini potansiyel istismardan korumak için 2.11.3 veya sonraki bir sürüme yükseltmeleri önemle tavsiye edilir.

Sunucunun güvenliğini ve bütünlüğünü sağlamak için bu güncellemelerin derhal uygulanması çok önemlidir.

Bu güvenlik açığı, yazılım geliştirmede uygun girdi temizliğinin önemini vurgulamaktadır.

Spring Cloud Data Flow’u kullanan kuruluşlar, sistemlerini yükseltmek ve olası güvenlik ihlallerini önlemek için derhal harekete geçmelidir.

Yükseltmeyle ilgili daha fazla bilgi ve ayrıntılı talimatlar için kullanıcılar resmi Spring Cloud Veri Akışı belgelerine başvurabilir.

Get special offers from ANY.RUN Sandbox. Until May 31, get 6 months of free service or extra licenses. Sign up for free.



Source link