ha annunciato ieri su vulnerabilità deserializzazione (CVE-2015-4852):SpringFramework utilizza InvokerTransformer da commons.collections?
https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread
Spring Framework utilizza commons.collections.
Se SpringFramework utilizza InvokerTransformer può essere vulnerabile per la vulnerabilità di serializzazione (CVE-2015-4852).
La domanda SpringFramework utilizza InvokerTransformer da commons.collections?
Hai provato a greppare il codice sorgente? – Marged
Scaricherò il sorgente e lo scaricherà. Può essere che qualcuno abbia già il codice e possa grep :) – Michael
Non è la domanda più importante se qualche cosa in Spring Framwork non serializza gli oggetti serializzati forniti dall'utente? A quel punto, se è presente la raccolta di commons (dal momento che il vuln creato usa 'InvokerTransform') e Spring è alimentato da un oggetto serializzato, sei a rischio. –