Antichesse (o ^ω^ o)
Après Log4j au tour de Spring d'avoir sa faille zero-day.
@Riduidel : pourquoi est-ce une farce ?
Sur des applications Spring Boot (et c'est encore plus vrai sous Rapidoid), les frameworks en dépendances représentent la quasi totalité du code exécuté, donc déterminer au moment du build lesquels sont touchés par des CVE déjà connues et documentées (donc faciles à exploiter) me semble être une aide pertinente au développement.
Que vois-tu que je ne perçois même pas ?
Bref, à patcher ASAP.
Remarque : je plains tout ceux qui sont passés sous Maven Wrapper et qui devront pour chaque projet et chaque branche de ces projets commiter la montée de version...
Outch, la dernière version stable est touchée (1.3.72). Il est recommandé de migrer vers la 1.4.0 aussitôt qu'elle sera publiée.
La criticité est de 8.8/10, avec une faille permettant une élévation de privilèges, ça fait mal.
Edit : je n'avais pas vu mais Kotlin 1.4.0 était déjà sortie. Il semble que le NIST et l'OWASP aient publié l'info qu'une fois la nouvelle version de Kotlin fût corrigée et publiée par JetBrains. C'est très pro !
Analyser la sécurité de votre serveur sous Debian via des CVE.
Merci au Styx