Spring简介
Spring是一个开放源代码的设计层面框架,它解决的是业务逻辑层和其他各层的松耦合问题,因此它将面向接口的编程思想贯穿整个系统应用。Spring是于2003 年兴起的一个轻量级的Java 开发框架,由Rod Johnson创建。简单来说,Spring是一个分层的JavaSE/EE full-stack(一站式) 轻量级开源框架。
近日, Spring官方发布多个安全公告其中包括3个严重,2个高危漏洞,漏洞涉及Spring Messaging组件, Spring Security框架,Spring Data 框架等多个模块,攻击者可通过这些漏洞实施远程代码执行攻击、拒绝服务攻击及获取敏感信息等。
一、Spring Messaging ReDoS
漏洞描述
| CVE编号 | CVE-2018-1257 |
| 漏洞类型 | 拒绝服务攻击 |
| 威胁等级 | 高 |
|
影响版本 |
Spring 5.0.x version < 5.0.6 Spring 4.3.x version < 4.3.17 以及不再受支持的版本中存在漏洞 |
|
漏洞危害 |
攻击者可利用此漏洞对系统进行远程代码执行的消息,导致在处理正则表达式时候出现拒绝服务。 |
|
漏洞依赖 |
|
修复方案
升级Spring框架到5.0.6/4.3.17。
二、Spring Security框架Method Security安全限制绕过漏洞
漏洞描述
| CVE编号 | CVE-2018-1258 |
| 漏洞类型 | 未授权访问 |
| 威胁等级 | 严重 |
|
影响版本 |
Spring Framework 5.0.5.RELEASE + 任意版本的Spring Security。 |
| 漏洞危害 | 未经授权的恶意用户可访问禁止方法的方法。 |
修复方案
升级Spring框架到5.0.6及以上。
升级Spring Boot到2.0.2及以上。
三、Spring Data 框架使用XMLBean产生XXE漏洞
漏洞描述
| CVE编号 | CVE-2018-1259 |
| 漏洞类型 | Xml外部实体注入漏洞 |
| 威胁等级 | 高 |
|
影响版本 |
Spring Data Commons Spring Data Commons 1.13.x version < 1.13.12 (Ingalls SR11) Spring Data REST 2.6.x version < 2.6.12 (Ingalls SR11) Spring Data Commons 2.0.x version < 2.0.7 (Kay SR6) Spring Data REST 3.0.x version < 3.0.7 (Kay SR6) |
|
漏洞危害 |
未经身份认证的远程恶意用户可以向SpringData基于投
射的请求Payloaci绑定提交特制的请求参数访问系统上的任 意文件。 |
修复方案
1.13.x 升级到 1.13.12 (Ingalls SR12)
2.0.x 升级到 2.0.7 (Kay SR7)
或升级 XMLBeam 到 1.4.15
以下框架已经修复了该问题:
Spring Data REST 2.6.12 (Ingalls SR12)
Spring Data REST 3.0.7 (Kay SR7)。
四、Spring Security OAuth2 远程代码执行漏洞
漏洞描述
| CVE编号 | CVE-2018-1260 |
| 漏洞类型 | 远程代码执行 |
| 威胁等级 | 严重 |
|
影响版本 |
Spring Security OAuth 2.3 x version < 2.3.3 Spring Security OAuth 2.2 x version < 2.2.2 Spring Security OAuth 2.1 x version < 2.1.2 Spring Security OAuth 2.0 x version < 2.0.15 以及不再受支持的旧版本。 |
| 漏洞危害 |
恶意的用户可以通过特制授权请求在服务器上执行任意代 码。 |
|
漏洞依赖 |
1.扮演授权服务器的角色(例如 @Enab1eAuthorizationServer) 2.使用默认的Approval端点。 |
修复方案
2.3.x 的用户应该更新升级到2.3.3
2.2.x 的用户应该更新升级到2.2.2
2.1.x 的用户应该更新升级到2.1.2
2.0.x 的用户应该更新升级到2.0.15
不再受支持的版本应升级至各自对应的安全版本。
五、Spring Integration Zip不安全解压
漏洞描述
| CVE编号 | CVE-2018-1261 |
| 漏洞类型 | 任意文件写入漏洞 |
| 威胁等级 | 严重 |
|
影响版本 |
Spring Integration Zip Community Extension Project 版本 1.0.0 |
| 漏洞危害 | 恶意构造的压缩文档解压时会覆盖外部文件。 |
修复方案
升级至以下安全版本:1.0.1.RELEASE同时,应避免解压来历不明的zip文件。
相关链接
{0}https://pivotal.io/security/cve-2018-1257
{1}https://pivotal.io/security/cve-2018-1258
{2}https://pivotal.io/security/cve-2018-1259
{3}https://pivotal.io/security/cve-2018-1260
{4}https://pivotal.io/security/cve-2018-1261
