Globedia.com

×
×

Error de autenticación

Ha habido un problema a la hora de conectarse a la red social. Por favor intentalo de nuevo

Si el problema persiste, nos lo puedes decir AQUÍ

×
×
Recibir alertas

¿Quieres recibir una notificación por email cada vez que Imprints09 escriba una noticia?

Nueva Vulnerabilidad en Pivotal Spring Data REST

06/03/2018 16:51 0 Comentarios Lectura: ( palabras)

La vulnerabilidad en Spring Data REST de Pivotal permite a los hackers remotos ejecutar comandos arbitrarios en cualquier máquina que ejecute una aplicación creada con sus componentes

La vulnerabilidad fue rastreada como CVE-2017-8046, que fue descubierta por expertos en seguridad de la información de Semmie / lgtm. Pivotal’s Spring Framework es una plataforma ampliamente utilizada por los equipos de desarrollo para crear aplicaciones web.

pivot

Spring Data REST se basa en los repositorios de Spring Data, permite exponer recursos HTTP impulsados por hipermedios para los agregados contenidos en el modelo. Los componentes incluidos en Spring Data REST son utilizados por los desarrolladores para crear aplicaciones Java que ofrecen API RESTful a los repositorios de datos de Spring subyacentes.

La vulnerabilidad es similar a las debilidades encontradas en Apache Struts que resultaron en la violación de datos de Equifax.

“Los investigadores de seguridad de la información de lgtm.com descubrieron una vulnerabilidad de ejecución remota de código que afecta a varios proyectos en Pivotal Spring”, dice el aviso de seguridad publicado por la compañía que descubrió la falla. “La vulnerabilidad permite a los atacantes ejecutar comandos arbitrarios en cualquier máquina que ejecute una aplicación creada utilizando Spring Data REST”.

Esta vulnerabilidad vincula la forma en que se usa el propio lenguaje de expresión (SpEL) de Spring en el componente RESTO de datos. La falta de validación de la entrada del usuario permite al atacante ejecutar comandos arbitrarios en cualquier máquina que ejecute una aplicación creada utilizando Spring Data REST.

“Prácticamente todas las aplicaciones web modernas contendrán componentes que se comunicarán a través de interfaces REST, desde sistemas de reserva de viajes en línea, aplicaciones móviles y servicios de banca por Internet”, comenta el profesional en seguridad de la información.

“Prácticamente todas las aplicaciones web contendrán componentes que se comunican por interfaces REST, desde sistemas de reserva de viajes, aplicaciones móviles y servicios de banca por Internet”

Pivotal emitió un parche de seguridad para una vulnerabilidad a la que se refiere como DATAREST-1127 como parte de su actualización Spring Boot 2.0.

“Las solicitudes maliciosas de PATCH enviadas a los servidores Spring-data-rest pueden usar datos JSON especialmente diseñados para ejecutar código arbitrario de Java”, dice el aviso de seguridad publicado por Pivotal. Los investigadores en seguridad de la información han trabajado en estrecha colaboración con Pivotal para resolver el problema y divulgar públicamente el problema; el objetivo fue brindar a los usuarios de Spring Data REST el tiempo suficiente para actualizar sus aplicaciones.

La explotación de la falla en las API RESTful podría permitir a los piratas informáticos obtener fácilmente el control de los servidores de producción y acceder a información confidencial.

“Esta vulnerabilidad en Spring Data REST es desafortunadamente muy fácil de explotar. Como es común que las API RESTful sean de acceso público, potencialmente permite a los malos actores obtener fácilmente el control de los servidores de producción y obtener datos confidenciales del usuario “, explicó el investigador de seguridad de la información que descubrió el problema.

Los productos y componentes Spring afectados son:

  • Componentes REST de Spring Data, versiones anteriores a 2.5.12, 2.6.7, 3.0RC3

(Artefactos de Maven: spring-data-rest-core, spring-data-rest-webmvc, spring-data-rest-distribution, spring-data-rest-hal-browser)

  • Spring Boot, versiones anteriores a 2.0.0M4

(Cuando se utiliza el componente REST Spring Data incluido: spring-boot-starter-data-rest)

  • Spring Data, versiones anteriores a Kay-RC3

Los profesionales de seguridad de la información recomiendan actualizar a las últimas versiones de los componentes anteriores.


Sobre esta noticia

Autor:
Imprints09 (123 noticias)
Visitas:
3055
Tipo:
Reportaje
Licencia:
Distribución gratuita
¿Problemas con esta noticia?
×
Denunciar esta noticia por

Denunciar

Empresas

Comentarios

Aún no hay comentarios en esta noticia.