个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
27
4
我发现一篇文章Open source library with vulnerabilities .
这篇文章指出“Spring 表达式语言 (SpEL) 可以通过 HTTP 参数提交来利用,从而允许攻击者获取敏感的系统数据、应用程序和用户 cookie。”
有人可以对此进行更多说明吗?
最佳答案
Aspect Security 的发现是在 2013 年 1 月发现的,但 SpringSource 发布的修复早在 2011 年首次发现时就已经可用。 Aspect Security 的 Dan Amodio 向 SpringSource 通报了远程代码执行的可能性。
SpringSource 根据 Aspect Security 的发现于 2012 年 6 月 12 日更新了我们的安全报告 - 但原始通报中列出的修复/缓解措施仍然适用:http://support.springsource.com/security/cve-2011-2730
此漏洞仅影响 Spring Framework 版本:
• 3.0.0 到 3.0.5 —— 升级到 3.0.6 可以解决该问题。• 2.5.0 到2.5.6.SEC02(社区版本)——升级到2.5.6.SEC03 可以解决该问题。• 2.5.0 到 2.5.7.SR01(订阅客户)——升级到 2.5.7.SR02 即可解决该问题。
此问题已在以后的所有版本中得到修复 - SpringFramework 的当前版本是 3.2,于 2012 年 12 月发布。
谢谢
-Pieter(SpringSource)
关于spring - Spring - SpEL 容易受到攻击吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10309034/
27
4
0
所以我试图让(例如)输入一些值:1 -2 -3 2 5正数的数量是 5 负数的数量是 -3总计为 3 平均值为 0.6我想让它像这样,但是当我运行它时,它不起作用哪一部分是错误的??? import
我编写了一个使用 OpenCV 的 cvCalcOpticalFlowLK 的程序。它在低分辨率网络摄像头输入上表现良好,但我需要在全高清流上运行它,并在对每一帧进行光流分析后进行重要的其他计算。处理
如果我有一个 ruby 脚本 Daemon,顾名思义,它作为守护进程运行,监视系统的各个部分并能够执行需要身份验证的命令,例如更改权限,是否存在一个简单的方法来拥有第二个 ruby 脚本,比如
我们有一个基于 Ant 和 Ivy 的构建管理系统,它基本上由一个共享的 ant 文件和一组围绕目录结构的约定组成。 我试图克服的一个障碍是相当常见的“递归发布”情况。比如说,我们有 5 个内部代码模
我在嵌入式 Linux 环境中遇到了问题。尝试确定它是否可以由应用程序引起。应用程序导致内核崩溃/锁定或终止 init 有多容易? 最佳答案 非根应用程序应该不可能影响任何一个。 以 root 身份运
我目前正在尝试学习 Nim(进展缓慢 - 无法投入太多时间)。另一方面,为了获得一些工作代码,我想对我正在 ruby 中开发的 Nim 应用程序的各个部分进行原型(prototype)设计。 由于
我是一名优秀的程序员,十分优秀!