Java : le framework Spring touché par une faille majeure
La dernière faille découverte dans l'environnement Java (lire l'article : Les applications Java restent vulnérables au piratage) a fait naitre le doute quant à la robustesse du langage orienté objet. Oracle a en effet publié un correctif qui, selon certains experts, ne règle pas le problème. Suite à cet incident, le département de la sécurité intérieure des Etats-Unis a même publié une note déconseillant d'utiliser Java. Même type d'alerte du côté du cabinet Security Explorations, pour lequel "les utilisateurs ont tout intérêt à présupposer que Java sera toujours vulnérable".
Dernier rebondissement en date : la mise au jour d'une nouvelle faille critique dans le framework Java Spring. Découverte par l'expert en sécurité Aspect Security, elle pourrait permettre à un pirate d'exécuter un code à distance. Son exploitation passe par la fonction Expression language pour injecter du code. A l'heure où nous publions cet article, le problème ne semble pas avoir été corrigé. Mais le projet Spring travaillerait activement à une solution. Security Explorations estime à 22 000 le nombre d'organisations ayant recours à une version vulnérable de l'infrastructure Spring. Enfin, la société a précisé que la vulnérabilité n'était pas aisée à exploiter.