Aspect安全研究人员发现在Spring框架中的远程代码漏洞(Aspect Security Researchers Discover Remote Code Vulnerability in the Spring Framework)

公开这些企业敌意收购的业务系统，全球有超过22,000组织下载130万次不安全的Spring框架的实例

COLUMBIA，MD，2013年1月16日（MARKETWIRE通过COMTEX） - 方面的安全，应用程序安全性的先驱，今天宣布，其研究人员已经发现了一个重大的安全漏洞，在Spring框架中。 Sonatype的，运营商的中央存储库，该行业的开源组件的主要来源，从专用数据显示，超过130万易受攻击的实例，在Spring Framework已被下载全球超过22,000个组织。

Spring是一个开源框架，建立关键业务应用程序的Java开发人员使用。表达式语言（EL）漏洞，允许攻击者使用一个远程执行代码调用的功能和接管一台机器或整个组织的网络。一旦攻击者利用这个弱点，企业失去控制建立在Spring框架的业务系统。

被称为远程代码表达的语言注射主任由阿尔山Dabirsiaghi的研究看点安全和Stefano DiPaola，好色安全CTO，这个漏洞被发现将近20个月前，导致了一个修补程序，VMware的Spring Framework的最新版本。由Aspect安全工程师Dan Amodio进行进一步的研究，已发现的其他问题，提高这个安全漏洞的严重程度，和看点的注意事项需要采取额外的步骤，以保护组织表达语言注入漏洞。

Amodio“，说：”这是很难量化这个问题的深度和广度，因为不是每一个应用是脆弱的，但使用Spring 3.0.5或更早版本的任何组织仍处于危险之中，因为这些版本不支持禁用双EL分辨率。 “该漏洞会导致远程代码执行，这可能是毁灭性的整个基础设施。许多组织仍在使用过时的组件，不提供额外的保护措施，禁用此功能。更令人担忧的是，这些有缺陷的部件仍在使用建立可呈现长期的安全隐患，如果消失了非托管的应用程序。“

为了让应用程序从第三方的攻击和性能问题，看点安全建议IT经理和开发人员使用Spring自己的音乐库，并选择使双EL分辨率。在未来避免类似的安全情况，组织应考虑组件生命周期管理（CLM）的产品，以确保基于组件的软件的完整性，通过分析使用，执行政策的开发和交付过程中，修复有缺陷的部件。

不安全的库和框架是一个新的困境广泛使用的开源软件社区。在2012年3月，看点中的安全性结合了Sonatype发表了一份研究报告，题为“不安全的图书馆不幸的现实。”该报告记录了1.13亿的下载从中央仓库的31个最流行的Java框架和安全库。由世界各地的开发使用，中央仓库（经营者Sonatype的）包含超过40万的组件和接收800亿每年的请求。该报告的结论，现代软件在很大程度上依赖于开源的，但用户并不知道更新 - 三的年纪大了，容易受攻击版本时，常用下载最流行的组件之一，即使在较新版本的安全修补程序，可用。从报告的其他重要发现包括：

   -  980万美元（26％）库下载
            漏洞
        - 下载最脆弱的图书馆GWT，Spring MVC的，Xerces的，
            与Struts 1.x的
        - 安全库稍微更可能有一个已知的
            比框架的脆弱性
        - 典型的脆弱性的基础上，绝大多数的库
            漏洞仍然未被发现
        - 既不存在也不是没有历史的漏洞是一个有用的
            安全性指标
        - 典型的Java应用程序是可能的，包括至少一个
            脆弱库

英文原文地址：http://www.marketwatch.com/story/aspect-security-researchers-discover-remote-code-vulnerability-in-the-spring-framework-2013-01-16