PplWare Mobile

Spring4Shell: Há uma nova falha grave no Java a afetar a Internet e a maioria dos seus serviços

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Simões


  1. Filipe Amaral says:

    A vulnerabilidade já se encontra corrigida nos novos patches de Spring 5.2.x e 5.3.x, bem como no Spring-Boot 2.5.x e 2.6.x.

  2. eu says:

    O Java já devia de ter morrido.
    Uma vez que a Internet acabou com o Flash, já lá vai o tempo que o Java devia de seguir a mesma tendência.
    O HTML5 substitui já e muito bem estas tecnologias do milénio passado que são cavalos mortos.

    Agora vêm os defensores do Java agarrados ao passado que não sabem programar em mais nada em 3, 2, 1 …

    • João says:

      Spring é uma framework de backend, nada tendo a ver com as Java applets que essas sim já morreram (ou já deveriam ter, mas o nosso estado continua agarrado a elas).

    • Filipe Amaral says:

      A vulnerabilidade nada tem a ver com o Java, mas sim com a framework Spring.
      Quanto ao resto do comentário, é pena que o HTML5 ainda não conseguiu substituir todos os trolls desta vida.

    • João says:

      Eu não uso Java, mas o teu comentário é bem claro numa coisa: Misturar Java com HTML é um erro típico de quem não sabe do que está a falar.

    • Html5IsTheShit says:

      HTML5 > Java xDDDD

      No outro dia estava aqui a comentar em fóruns sobre temas que não domino e que não tenho qualquer tipo de conhecimento ou formação (mais ou menos o que você está a fazer), e foi me sugerido fazer uma aplicação para treinar e melhor perceber o conceito de Multi-Threading, então fiz em HTML5 (xDDDDD) e a minha vida desde então melhorou imenso. Hoje sou um programador de renome em todo o mundo graças às minhas habilidades de programação em HTML5. Estou a caminhar para o primeiro M1lhão na minha conta.

    • Mota says:

      Alguém que explique ao rapaz a diferença entre o java do artigo e java que ele está a falar, sff.

  3. Carlos says:

    Gostaria apenas de sugerir uma correcção de linguagem.
    Apesar de parecer um pormenor técnico é relevante: a falha é potencialmente muito grave, mas não é “no Java”. Antes é numa framework muito popular que usa a linguagem Java – o Spring – num dos seus componentes.
    É similar para o Log4JShell, que foi uma falha numa biblioteca de logging muito popular no mundo Java, mas não no Java em si.
    Isto é importante porque o ecossistema Java é muito mais vasto do que o Log4J e o Spring.
    Se a vulnerabilidade fosse no Java (a linguagem + o JDK) aí sim, seria de uma potencial gravidade largas vezes maior, uma vez que seria, para todos os efeitos, nos blocos de constroem cada uma destas coisas.
    Cumprimentos

    • Hugo says:

      Bravo acho que disseste tudo. Muito bom comentário.

    • João says:

      De realçar que para quem usa a framework Spring, afecta apenas quando usado o Java JDK 9+, Apache Tomcat (outros webservers podem ser também vulneráveis mas até à data apenas o Tomcat é certo), e aplicações deployed em formato WAR.

      E claro, para quem usa já estão disponíveis patches. Quem não pode por algum motivo actualizar, neste link está disponível uma fix temporária:

      https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/

      • Carlos says:

        É verdade. Felizmente precisa de um cenário um pouco mais complexo do que quando foi com o Log4JShell.
        Também é um bom aviso ao pessoal que acha que deve ficar nas versões mais antigas por causa da estabilidade e desconfiança das mais recentes – se mais nada fosse, as actualizações recorrentes resolvem bugs de segurança antes de eles serem um problema ou em resposta a estes.
        Tanto o Log4JShell como este foram rapidamente resolvidos com actualizações de segurança em tempo recorde.

  4. Pe@ce says:

    “Uma análise preliminar determinou que é necessária a presença de “Spring Beans”, usar “Spring Parameter Binding” e uma “Spring Parameter Binding” deve ser configurada para usar um tipo de parâmetro não básico, como POJOs.”

    Ah, pronto, assim estou muito mais descansado…

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.