Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

VMware, birden fazla üründe Spring4Shell RCE kusurunu düzeltiyor


VMware, birden fazla üründe Spring4Shell RCE kusurunu düzeltiyor

VMware, birkaç bulut bilişim ve sanallaştırma ürününü etkileyen Spring4Shell olarak bilinen kritik uzaktan kod yürütme güvenlik açığı için güvenlik güncellemeleri yayınladı.

Spring4Shell’den etkilenen VMware ürünlerinin bir listesi, şirketten bir ekte mevcuttur. Bir düzeltmenin bulunmadığı durumlarda, VMware geçici bir çözüm olarak bir geçici çözüm yayınladı.

Spring4Shell aktif olarak yararlanılan bir güvenlik açığı olduğundan, şu anda güvenlik bülteninde sağlanan tavsiyelere uymak kritik önem taşımaktadır.

Popüler bir çerçevede bir kusur

Resmi olarak CVE-2022-22965 olarak izlenen Spring4Shell, bir uzaktan kod yürütme güvenlik açığı kimlik doğrulaması olmadan yararlanılabilen Spring Core Java çerçevesinde, 10 üzerinden 9,8 önem puanına sahip.

Bu, savunmasız uygulamalara erişimi olan herhangi bir kötü niyetli aktörün rastgele komutlar yürütebileceği ve bir hedef sistemin tam kontrolünü ele geçirebileceği anlamına gelir.

Java uygulaması geliştirme için Spring Framework’ün yaygın dağıtımı nedeniyle, güvenlik analistleri Spring4Shell güvenlik açığından yararlanan büyük ölçekli saldırılardan korkuyor.

Daha da kötüsü, çalışan bir kavram kanıtı (PoC) istismarı GitHub’a sızdırıldı bir güvenlik güncellemesi kullanıma sunulmadan önce bile, kötü niyetli istismar ve “sürpriz” saldırılar olasılığını artırıyordu.

Etki ve iyileştirme

Kritik kusur, JDK 9+ üzerinde çalışan Spring MVC ve Spring WebFlux uygulamalarını etkiler. Kesin sınırlamalar hala araştırılıyor olsa da, açıklardan yararlanma, uygulamanın bir WAR dağıtımı olarak Tomcat’te çalışmasını gerektiriyor.

Uygulamaların sabit sürümleri şunlardır:

  • Spring Framework 5.3.18 ve Spring Framework 5.2.20
  • Yaylı Önyükleme 2.5.12
  • Spring Boot 2.6.6 (yakında piyasaya sürülecek)

VMWare, ürün portföyünü gözden geçirdi ve inceleme devam ederken, aşağıdaki ürünler halihazırda etkilenmiş olarak belirlendi:

  • VM’ler için VMware Tanzu Uygulama Hizmeti – 2.10 ila 2.13 sürümleri
  • VMware Tanzu Operations Manager – 2.8 ila 2.9 sürümleri
  • VMware Yardımcı Kubernetes Grid Integrated Edition (TKGI) – 1.11 ila 1.13 arasındaki sürümler
Etkilenen ürünleri ve düzeltme sürümlerini özetleyen tablo
Etkilenen ürünlerin ve düzeltilen sürümlerin özeti (VMWare)

Satıcı, ilk iki ürün için, nokta sürümleriyle birden çok sürüm dalını kapsayan güvenlik güncellemelerini zaten yaptı, ancak VMware Tanzu Kubernetes Grid Integrated Edition için kalıcı bir düzeltme hâlâ çalışıyor.

Bu dağıtımlar için VMWare, geçici çözüm talimatları yamalar yayınlanana kadar yöneticilerin sistemlerini geçici olarak güvence altına almalarına yardımcı olmak için tasarlanmıştır.

Unutulmaması gereken bir nokta, VMWare’in Spring4Shell istismarının TKGI’da karmaşık olduğunu bulması, bu nedenle azaltma tavsiyesi ve yaklaşan güvenlik güncellemesi, maksimum müşteri güveni ve yanlış pozitiflerden kaçınmak için sağlanmıştır.

Yine de, dağıtımlarınızın fırsatçı tehdit aktörlerine karşı güvende olmasını sağlamak için sağlanan resmi güvenlik tavsiyelerine herhangi bir sapma ve gecikme olmaksızın uyulmalıdır.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.