Spring Framework
VMware ออกรายงานเกี่ยวกับช่องโหว่ Spring4Shell ของผลิตภัณฑ์ในกลุ่ม Tanzu โดยทางบริษัทยืนยันว่ามีผลิตภัณฑ์ได้รับผลกระทบจริง
สำหรับผลิตภัณฑ์ในกลุ่ม Tanzu ที่ได้รับผลกระทบคือ VMware Tanzu Application Service for VMs, VMware Tanzu Operations Manager และ VMware Tanzu Kubernetes Grid Integrated Edition (TKGI) ซึ่งทางบริษัทยืนยันว่าถ้าสามารถเข้าถึงผลิตภัณฑ์ที่ได้รับผลกระทบของ VMware ก็สามารถเข้าควบคุมระบบเป้าหมายได้
ช่องโหว่ Spring4Shell (CVE-2022-22965) เป็นช่องโหว่บน Spring Framework ซึ่งเป็นเฟรมเวิร์คยอดนิยมของ Java ที่ยึดเครื่องได้โดยการเปิดทางผ่าาน HTTP request โดยช่องโหว่นี้กำหนดความร้ายแรงไว้ที่ 9.8
Spring Framework ออกแพตช์เวอร์ชั่น 5.3.18 และ 5.2.20 เป็นแพตช์ฉุกเฉินหลังเมื่อวานนี้มีโค้ดตัวอย่างสำหรับโจมตีเซิร์ฟเวอร์ที่รันเฟรมเวิร์คหลุดออกมา เปิดทางให้แฮกเกอร์สามารถรันโค้ดบนเครื่องของเหยื่อได้
ช่องโหว่ CVE-2022-22965 หรือ Spring4Shell อาศัยกระบวนการ RequestMapping ที่แปลงสตริงเป็นออปเจกต์ คนร้ายสามารถส่ง HTTP request ที่กระตุ้นให้เซิร์ฟเวอร์ Tomcat ที่รันแอป Spring อยู่รัน webshell เปิดทางให้แฮกเกอร์เข้ายึดเครื่องได้
ไมโครซอฟท์ประกาศความร่วมมือกับ Pivotal (ปัจจุบันอยู่ระหว่างการควบรวมกิจการเข้ากับ VMware) เปิดตัว Azure Spring Cloud บริการคลาวด์ที่ออกแบบมาสำหรับแอพพลิเคชันที่เขียนด้วย Spring Framework โดยเฉพาะ
ช่วงหลังโครงการ Spring ปรับตัวเข้ากับยุคคลาวด์ โดยแยกโครงการย่อย Spring Cloud เพื่อพัฒนาตัวเชื่อมต่อกับซอฟต์แวร์คลาวด์รุ่นใหม่ๆ เช่น Kubernetes, Zookeeper และการรันบนคลาวด์ยอดนิยม เช่น AWS, Azure, GCP, Alibaba Cloud
Spring Framework เป็นเฟรมเวิร์คสำหรับพัฒนาแอพพลิเคชันด้วย Java ที่ได้รับความนิยมมากตัวหนึ่ง ล่าสุดกูเกิลประกาศออก Spring Cloud GCP เวอร์ชัน 1.0 ซอฟต์แวร์ที่ช่วยเชื่อมต่อแอพพลิเคชันที่เขียนด้วย Spring เข้ากับบริการ Google Cloud Platform
โครงการนี้เป็นโครงการย่อยของ Spring Cloud ที่มีเป้าหมายเพื่อผลักดันการใช้ Spring บนคลาวด์ ก่อนหน้านี้โครงการ Spring Cloud มีตัวเชื่อมกับ AWS อยู่แล้ว ฝั่งกูเกิลจึงออกเวอร์ชัน GCP ที่มีลักษณะเดียวกันออกมา
แพตช์ของ Spring Framework 4.3.14 และ 5.0.4 ออกมาตั้งแต่วันอังคารที่ผ่านมา แต่วันนี้ทาง Pivotal ก็ประกาศเพิ่มเติมว่าแพตช์ชุดนี้แก้ช่องโหว่ 3 รายการ โดยมีรายการหนึ่งเป็นช่องโหว่ระดับวิกฤติ เปิดทางให้แฮกเกอร์ส่งโค้ดเข้ามารันได้
ช่องโหว่ CVE-2018-1270 เปิดทางให้แฮกเกอร์ยิงข้อความที่สร้างเฉพาะเข้ามาในโมดูล spring-messaging หากมีกระบวนการยืนยันตัวตน เช่น Spring Security ก็จะจำกัดผู้โจมตีลงไปได้
อีกช่องโหว่ เป็นช่องโหว่ระดับสูง CVE-2018-1271 เปิดทางให้แฮกเกอร์สามารถอ่านไฟล์ได้เกินกว่าที่กำหนดไว้
โครงการที่ใช้ Spring Framework ควรเร่งอัพเดตโดยเร็ว
Pivotal บริษัทด้านแพลตฟอร์มคลาวด์ที่แยกตัวออกมาจาก Dell EMC และ VMware ยื่นเอกสารจดทะเบียนเพื่อเตรียมขายหุ้น IPO ในตลาดหลักทรัพย์แล้ว
คงจะพอจำกันได้จากเหตุการณ์ผู้หญิงผิวสี Diamond Reynolds ใช้ Facebook Live ถ่ายทอดเหตุการณ์คู่หมั้นของเธอ Philando Castile ถูกตำรวจยิงจนเสียชีวิต ล่าสุดมีรายงานข่าวเจ้าหน้าที่ต้องการข้อมูลการใช้งานโทรศัพท์และบัญชี Facebook ของ Reynolds โดย Facebook ปฏิเสธ แต่ Sprint (ผู้ให้บริการเครือข่าย) ยอมทำตามเจ้าหน้าที่
เมื่อพูดถึงแพลตฟอร์มการสร้างแอพพลิเคชันบนกลุ่มเมฆ (PaaS) คนส่วนใหญ่คงคิดถึง Google App Engine หรือ Microsoft Azure แต่ในความเป็นจริงแล้วก็ยังมีรายอื่นๆ อีกหลายราย ที่น่าสนใจหน่อยคงเป็น Cloud Foundry ของ VMware ที่มีกำลังพอต่อกรกับสองยักษ
มีข่าวของ ISIS ไปแล้ว มาดูคู่แข่งอย่าง Google Wallet บ้างนะครับ
ราชาแห่งวงการ Big Data คือ Apache Hadoop และที่ผ่านมาเราก็เห็นบริษัทมากมายที่เชื่อมระบบของตัวเองให้ทำงานร่วมกับ Hadoop ได้
ซอฟต์แวร์รายล่าสุดที่ประกาศตัวในเรื่องนี้คือ Spring เฟรมเวิร์คยอดนิยมในภาษาจาวา (ปัจจุบันเป็นของ VMware) ก็เปิดตัว Spring Hadoop ที่ช่วยให้แอพที่เขียนด้วย Spring สามารถคำนวณ MapReduce ใน Hadoop ได้ และเชื่อมต่อไปยังบริการอื่นๆ อย่าง Hive และ Pig ได้ด้วย
เมื่อวานเราเพิ่งเห็นข่าว Windows Azure รองรับเทคโนโลยีฝั่งโอเพนซอร์สหลายตัว วันนี้ Cloud Foundry บริการกลุ่มเมฆแบบ PaaS ของค่าย VMware ที่เคยเจาะตลาดฝั่งโอเพนซอร์สมาก่อน ก็ทำกลับกันคือรองรับ .NET แล้ว
Google และ SpringSource (บริษัทลูกของ VMware) ได้ประกาศเปิดตัวผลิตภัณฑ์ที่ช่วยให้เหล่านักพัฒนาในองค์กรสามารถพัฒนา ติดตั้ง และบริหารจัดการแอพพลิเคชันบนกลุ่มเมฆใดๆ บนอุปกรณ์ใดๆ ก็ได้ ที่งานสัมมนา SpringOne 2GX Developer Conference ประกอบด้วย
SpringSource บริษัทผู้พัฒนาเฟรมเวิร์คอย่าง Spring และ Grail (ปัจจุบันเป็นบริษัทลูกของ VMware) เข้าซื้อกิจการของ RabbitMQ บริษัทที่อยู่เบื้องหลังในการพัฒนา API ใช้สำหรับพัฒนา cloud messaging technology เพื่อเพิ่มความสามารถด้าน messaging ไปยังเทคโนโลยีของตัวเอง
Rod Johnson ผู้จัดการทั่วไปของ SpringSource ให้เหตุผลในการซื้อครั้งนี้ว่า "ถึงแม้ messaging เป็นหัวใจที่ใช้ในการสร้างแอพพลิเคชันระดับ enterprise อยู่แล้ว แต่แอพพลิเคชันระดับ cloud กลับมีพื้นฐานของ messaging infrastructure แตกต่างกัน การซื้อ RabbitMQ จะช่วยให้เราขยายตลาดไปยัง cloud ได้ง่ายขึ้น"
บริษัท VMWare ประกาศวันนี้ (10 สิงหาคม) ว่าจะซื้อบริษัท SpringSource ด้วยเงินสด 362 ล้านเหรียญ พร้อมหุ้นอีก 58 ล้านเหรียญ คิดเป็นเงินไทยราว หมื่นสองพันล้านบาทและหนึ่งพันเก้าร้อยล้านบาทตามลำดับ
สำหรับท่านที่ไม่ทราบ VMWare มีผลิตภัณฑ์ดังคือซอฟต์แวร์จำลองการทำงานของเครื่องพีซีและเซิร์ฟเวอร์ที่มีชื่อเดียวกับบริษัทว่า VMWare ส่วน SpringSource เป็นเจ้าของผลิตภัณฑ์แอพพลิเคชันเฟรมเวิร์ก Spring, Grails มีจาวาแอพพลิเคชันเซิร์ฟเวอร์ tc Server และ dm Server รวมถึงขายการอบรมการใช้แอพพลิเคชันเฟรมเวิร์ก
ตอนนี้ ในตลาดด้านซอฟต์แวร์เหลือตัวใหญ่ๆ ตอนนี้ก็ IBM, Oracle, Microsoft จะมีเพิ่มอีกหนึ่งก็ VMWare นี่แหล่ะครับ
วันที่ 11 พฤษจิกายน 2551 SpringSource บริษัทที่อยู่เบื่องหลัง Spring ประกาศว่าได้ทำการซื้อกิจการของบริษัท G2One บริษัทที่อยู่เบื่องหลัง Groovy และ Grails เทคโนโลยี การซื้อกิจการในครั้งนี้จะทำให้ SpringSource ขยายฐานอำนาจออกไปอีก
การควบรวมในครั้งนี้มีการคาดการว่าจะทำให้ Spring, Groovy และ Grails จะกลายเป็นทางเลือกที่ดีที่สุดในการพัฒนาแอพพลิเคชั่นบน JVM เนื่องจากถ้าเรามองจากสถิติแล้ว Groovy เป็นภาษาสคริปบน JVM ที่ได้รับความนิยมมากที่สุดโดยตัวมันเองถูกดาว์นโหลดมากกว่า 30,000 ครั้งต่อเดือน ทางด้านสถิติของ Grails นั้นเพิ่มจาก 7,000 เป็น 70,000 ต่อเดือน สุดท้าย Spring นั้นเป็นที่ยอมรับกันอย่างไม่เป็นทางการอยู่แล้วว่าเป็นเฟรมเวิร์คทางเลือกที่ได้รับความนิยมที่สุด ในหมู่นักพัฒนาภาษาจาวา