The headlines that made most buzz on this page
31/03/22 17:23
4.96% of the views
מאת Ynet
31/03/22 17:13
4.63% of the views
מאת N12
הפיתוח הישראלי שיפסיק את קניית העבודות
31/03/22 16:55
4.53% of the views
מאת N12
"משתתפים בצערכם ושולחים תנחומים כנים מעומק הלב, שאלוהים ירחם עליהם" • ראש העירייה סובחי: "
31/03/22 16:57
4.42% of the views
מאת סרוגים
יו"ר האופוזיציה וראש הממשלה לשעבר בנימין נתניהו נפגש עם ראש המוסד דדי ברנע והעלה בפניו בקשה לספק סידורי אבטחה לבנו אבנר שיוצא ללימודים אקדמאים בחו"ל בשנה שהבאה
31/03/22 17:04
4.31% of the views
מאת כיפה
אחרי שהשיג מליוני שקלים בכמה שעות בקמפיין הקודם בשביל נתניהו, העיתונאי ינון מגל החליט לפתוח בקמפיין גיוס המונים על מנת לממן כתיבת ספר תורה לעילוי נשמת הרב קנייבסקי זצ"ל ולהצלחת כוחות הביטחון
31/03/22 17:12
4.31% of the views
מאת Ynet
31/03/22 17:18
3.77% of the views
מאת רוטר.נט
31/03/22 16:58
3.02% of the views
מאת IsraelDefense
פגיעות ביצוע קוד מרחוק (RCE) התגלתה במסגרת Spring זמן קצר לאחר שחוקר אבטחה סיני הדליף לזמן קצר הוכחת ניצול (PoC) ב-GitHub - לפני מחיקת חשבונו https://spring.io פגיעות ביצוע קוד מרחוק (RCE) התגלתה במסגרת Spring זמן קצר לאחר שחוקר אבטחה סיני הדליף לזמן קצר הוכחת ניצול (PoC) ב-GitHub - לפני מחיקת חשבונו.
לפי חברת אבטחת הסייבר Praetorian, הפגם שלא תוקן משפיע על Spring Core ב-Java Development Kit גרסאות 9 ואילך ומהווה מעקף לפגיעות נוספת כ-CVE-2010-1622, המאפשרת לתוקף לא מאומת להפעיל קוד שרירותי במערכת היעד.
״Spring Core ב-JDK9+ חשוף לביצוע קוד מרחוק עקב מעקף עבור CVE-2010-1622. בזמן כתיבת שורות אלה, פגיעות זו אינה תוקנה ב-Spring Framework וקיימת הוכחה ציבורית זמינה. מכיוון שיש לנו עצות לתיקון ללקוחות, בחרנו לשתף מידע זה בפומבי״, כותבים בבלוג של praetorian.
Spring היא מסגרת תוכנה לבניית יישומי Java, כולל אפליקציות אינטרנט על גבי פלטפורמת Java EE. בתצורות מסוימות, הניצול של בעיה זו הוא פשוט, מכיוון שהוא מחייב את התוקף רק לשלוח בקשת HTTP מעוצבת למערכת פגיעה. עם זאת, ניצול של תצורות שונות יחייב את התוקף לבצע מחקר נוסף כדי למצוא מטענים שיהיו יעילים.
ב-Spring אישרו את החולשה תחת המספר CVE-2022-22965. ״גרסאות Spring Framework 5.3.18 ו-5.2.20, המטפלות בפגיעות, זמינות כעת. תהליך השחרור של Spring Boot נמצא בעיצומו״, נכתב בבלוג החברה.
״הבעיה דווחה לראשונה ל-VMware מאוחר ביום שלישי בערב, קרוב לחצות, שעון GMT על ידי codeplutos, meizjm3i של AntGroup FG. ביום רביעי עבדנו על חקירה, ניתוח, זיהוי תיקון, בדיקות, תוך שאיפה לשחרור חירום ביום חמישי. בינתיים, גם ביום רביעי, פרטים הודלפו בפירוט מלא באינטרנט, וזו הסיבה שאנו מספקים את העדכון הזה לפני המהדורות ודוח ה-CVE.
״הפגיעות משפיעה על יישומי Spring MVC ו-Spring WebFlux הפועלים על JDK 9+. הניצול הספציפי מחייב את האפליקציה לפעול על Tomcat כפריסה של WAR. אם האפליקציה נפרסת כ- Spring Boot להפעלה, כלומר ברירת המחדל, היא אינה חשופה לניצול. עם זאת, אופי הפגיעות הוא כללי יותר, וייתכנו דרכים אחרות לנצל אותה.״