Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: Spring Framework için Yükseltmeler Durduruldu
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » Spring Framework için Yükseltmeler Durduruldu

GenelSiber Güvenlik

Spring Framework için Yükseltmeler Durduruldu

teknomers
Son güncelleme: 16 Nisan 2022 12:33
teknomers
Paylaş
Paylaş

Popüler Spring çerçevesinin koruyucuları, kritik uzaktan kod yürütme kusurunu (CVE-2022-22965) 31 Mart’ta yamaladı. İki hafta sonra, Spring indirmelerinin çoğu hala yama uygulanmamış savunmasız sürümleri kullanıyor, bu da geliştiricilerin yükseltmek için bir acele.

Sonatype tarafından Exploit Resource Center’da yayınlanan tablolara göre, 15 Nisan itibariyle, İlkbahar indirmelerinin %77’si güvenlik açığı bulunan sürümler içindi. Bu, Spring indirmelerinin %82’sinin çerçevenin savunmasız sürümleri için yapıldığı 4 Nisan’dan küçük bir düşüş. En son sürümleri benimseyen indirmelerin yaklaşık %20’sine hızlı bir sıçrama oldu, ancak o zamandan beri rakam aynı seviyeye geldi. Spring’in savunmasız sürümlerinin hala indirilmesinin bir nedeni, birçok şirketin her bir iş uygulaması için tüm bağımlılıkları net bir şekilde anlamadığı gerçeğine bağlı olabilir.

“[The] Bu indirmeleri görmeye devam etmemiz, kuruluşların yükseltme kararı almadığının bir göstergesidir” diyor Sonatype’ın CTO’su Brian Fox.

Yukarıdaki yığılmış alan grafiğinde, kırmızı bölge güvenlik açığı bulunan sürümleri ve yeşil bölge, düzeltme yoluna sahip güncellenmiş sürümü temsil eder. Bu durumda, sayı ne kadar yüksek olursa, güvenlik açığı bulunan bileşene sahip uygulama o kadar fazla oluşturulur.

Güncellenmiş sürümü kullanan geliştiricilerin çoğuna yönelik iğne çok yavaş ilerliyor.

Geleceğe Hazırlanmak

Güvenlik açığından yararlanılabilirlik herhangi bir zamanda değişebilir – birileri tekrarlanabilir ve çok sayıda özel koşulun bulunmasını gerektirmeyen bir saldırı vektörü geliştirebilir veya güvenlik azaltmalarını aşmanın bir yolunu bulabilir. Daha yeni bir istismar geliştirilmeden ve durum daha ciddi hale gelmeden önce ortamın güncellenmesi daha iyi olur.

“[The] tehlike şu ki, dikkat konisi ilerlediğinde, daha sonra bir risk haline gelebilecek çok sayıda yama yapılmamış mülk olacak” diye belirtiyor Iikka Turunen, Sontaype’nin saha CTO’su. “Bu bir bahar meselesi değil, bağımlılıklarımızı nasıl yönetiyoruz meselesi.”

Güvenlik açığı, Spring Framework 5.3.0 – 5.3.17, 5.2.0 – 5.2.19 ve daha eski sürümlerinde bulunmaktadır. Sorun, Spring Framework sürüm 5.3.18 ve 5.2.20 ile Spring Boot 2.5.12 ve 2.6.6’da düzeltildi.

Fox, “Bu, yükseltme yapmaları gerektiğini bilen ve yapabilenlerin bunu çok hızlı yapma eğiliminde olduğunu gösteriyor” diyor. “Ancak uzun kuyruğun geri kalanı çok uzun, saldırganların mevcut güvenlik açıklarından yararlanmanın yeni yollarını bulmaları ve mevcut olabilecek hafifletmeler üzerinde çalışma yapmaları için çok fazla alan bırakıyor.”

Log4j kadar “kötü” değil

Aralık ayında, Log4j’deki güvenlik açığı açıklandığında, insanların mümkün olan en kısa sürede güncelleme yapmaları için büyük bir baskı vardı. Sonatype, son rakamların Log4j indirmelerinin %34’ünün hala savunmasız sürüm olduğunu gösterdiğini söylüyor. Yeni indirmelerin çoğu en son – güvenli – sürüm içindir.

Şiddetine rağmen, Spring’deki sorun o kadar acil olarak görülmüyor çünkü istismar standart olmayan bir kurulum gerektiriyor (çoğu modern uygulama Spring Boot yürütülebilir jar dosyalarına geçtiğinde geleneksel bir WAR dosyası olarak paketlenmiştir) ve istismar şu anda çok fazla. sınırlı.

“Spring4Shell, ‘Kritik’ ancak ‘İnternet Yanıyor’ düzeyinde güvenlik açıkları ortaya çıktığında yazılım endüstrisinde neler olduğunu anlamamız için bize benzersiz bir fırsat veriyor.” Turunen diyor.

Nadirlik, güvenlik açığı taraması ve sızma testi hizmetleri şirketinin altını çizmek için davetsiz misafir tarandı Güvenlik açığının açıklanmasından bu yana 25.000’den fazla istemci varlığı. Intruder’da güvenlik mühendisi olan Benjamin Marr, “Henüz savunmasız bir uygulama bulamadık” diye yazıyor.

Güvenlik ekipleri, kayıtsız kalmamalı veya yükseltmeleri geciktirmemelidir. Fox, “Birbirine yakın yöntemlerden yararlanmanın kaçınılmaz olarak daha fazla yolu olacak” diyor. “Bu senaryolarda yapılacak en güvenli şey, neredeyse her zaman yükseltmedir.”



siber-1

Microsoft, erişilebilirlik odaklı yeni bir ürün yelpazesi olan Uyarlamalı Aksesuarlar’ı duyurdu
Xiaomi 15 Ultra, Şirketin Şirket İçi ‘Küçük Dalgalanma’ SoC’si ile Gönderilen İlk Akıllı Telefonu Olabilir, Ancak Teknik Özellikler Ayrıntıları Şu Anda Karanlıkta Tutuluyor
Akıllı telefonunuz için bu 4 gizli işlevi bilmiyorsunuz!
PS5 Slim incelemesi: En başından beri almamız gereken konsol
ABD Ordusu artık bir Google Workspace müşterisi
ETİKETLENDİ:DurdurulduFrameworkiçinSpringyükseltmeler
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Horizon Forbidden West’in yaratıcı yönetmeni ‘bir sonraki oyun’ hakkında konuşuyor
Sonraki Makale Disney World GOTG Ride, Ay Şövalyesi

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

Laravel 13’te OpenAI Kullanarak Yapay Zeka Destekli İçerik Üretimi
Yazılım
Favori Oyununuza Hakim Olun, Yılda 15.000 Dolar Kazanın
Oyun
OpenAI Araştırmacısı Miles Wang, 2 Milyar Dolar Değerinde AI İlaç Geliştirme Girişimi Kuruyor
Genel
SAP, NetWeaver ve Commerce Cloud’da Acil Güvenlik Açıkları Açıkladı
Siber Güvenlik
Sony Yeni PS5 Dövüş Kumandasını Erteledi mi?
Liste
Benedict Cumberbatch Kartlarının Gizemi: Magic: The Gathering Dünyası
Oyun
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?