Vulnerabilità: CVE-2020-5413

integration framework Spring fornisce implementazioni Kryo Codec come alternativa per Java (de) serializzazione. Quando Kryo è configurato con le opzioni di default, tutte le classi non registrati sono risolti su richiesta. Questo porta a dei ""gadget"" di deserializzazione sfruttano quando i dati forniti contengono codice dannoso per l’esecuzione durante la deserializzazione. Al fine di proteggere contro questo tipo di attacco, Kryo può essere configurato per richiedere un insieme di classi di fiducia per (de) serializzazione. L’integrazione di primavera dovrebbe essere proattiva contro il blocco sconosciuti ""gadget deserializzazione"" quando si configura Kryo nel codice.


https://tanzu.vmware.com/security/cve-2020-5413
https://tanzu.vmware.com/security/cve-2020-5413
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5413


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi