春假缺陷显示跨行业合作

LGTM.com的安全研究人员警告了Pivotal的Spring框架的用户，因为由于春假称为临界缺陷，立即更新他们的软件。

研究人员发现了一个关键的远程远程执行漏洞，允许攻击者在运行使用Spring Data REST建立的应用程序的任何计算机上执行任意命令。

Spring框架被视为构建Java应用程序的领先开源框架。该项目由2013年由云开发公司关键接管。

根据LGTM.com的说法，该漏洞类似于Apache Struts中发现的弱点，其中一个导致Equifax数据漏洞。

LGTM.com，几个弹簧启动包括春靴，包括春靴，受到影响。Pivotal发布了漏洞的补丁（CVE-2017-8046），它确认在2.5.12,2.6.7,3.0 RC3之前影响了弹簧数据休息版本;在2.0.0m4之前的春季引导版本;和Kay-RC3之前的弹簧数据释放列车。

CAVERACODE CHRIS WYSOPAL（CTHAR AT CA VERACODE）说：“快速反应春假的重要性不能夸大。当然，缓解甚至严重漏洞的风险是没有卑鄙的 - 即使是最严重的缺陷也需要时间来修复，我们自己的研究表明，只有14％的高严重程度缺陷在30天或更短的时间内关闭。“

WASoPal敦促开发团队使用其应用程序中包含的所有开源元素的全面库存管理新漏洞的不断威胁。对于现有应用程序，运行成分分析可以识别应用程序中包含哪些组件 - 但只有28％的组织定期这样做。

“只有在利用新发现漏洞的警报和通知时，那么按照准确的最新库存检查，才能发起，可以了解他们的曝光，以及如何最好地减轻这种风险，”沃阿多禄说。

关键贴片是什么意思，因为春天被广泛使用，只有在用户获得足够的时间以更新他们的Web软件后，Flflaw才会被公布。