Softwareentwickler, die mit Spring Framework arbeiten, sollten die Entwicklungsumgebung aus Sicherheitsgründen auf den aktuellen Stand bringen. Andernfalls können Angreifer an zwei Sicherheitslücken ansetzen und Systeme attackieren.
Anzeige
In einer Warnmeldung führen die Entwickler zwei Sicherheitslücken (CVE-2024-38819 "hoch", CVE-2024-38820 "mittel") auf. Sie geben an, die Schwachstellen in der Ausgabe 6.1.14 geschlossen zu haben. Der Support für Spring Framework 5.3.x und 6.0.x ist einem Supportbeitrag zufolge im August dieses Jahres ausgelaufen. Die kommerziellen Releases 5.3.41 und 6.0.25 sollen den Fix aber enthalten.
Spring Boot ist in den Versionen 2.7.22.2, 3.0.17.2 und 3.1.13.2 abgesichert.
Nutzen Angreifer die Lücken erfolgreich aus, können sie unter anderem über präparierte HTTP-Anfragen beliebige Dateien auf Systemen einsehen. Bislang gibt es keine Meldungen zu bereits laufenden Attacken.
(