当地时间5月9日,Spring官方发布了多个安全通告修复了数个安全漏洞,包括1个高危的远程代码执行漏洞。
相关链接:
漏洞描述
CVE-2018-1257 (High)
Spring Framework部分版本允许应用程序利用Spring消息模块通过简单的内存STOMP代理在WebSocket端点上公开STOMP。攻击者可以向broker发送一条特制的消息,导致拒绝服务攻击。
同时满足以下所有条件才受到该漏洞影响:
- 依赖于spring-messaging和spring-websocket模块。
- 通过WebSocket端点注册STOMP。
- 启用简单的STOMP代理。
受影响的版本:
- Spring Framework 5.0 to 5.0.5
- Spring Framework 4.3 to 4.3.16
- 以及不再受支持的旧版本
解决方案:
升级至以下安全版本:
- 0.x users should upgrade to 5.0.6.
- 3.x users should upgrade to 4.3.17.
- 不再受支持的版本应升级至各自对应的安全版本
参考链接:
https://pivotal.io/security/cve-2018-1257
CVE-2018-1258 (Critical)
Spring Security与Spring Framework 5.0.5.RELEASE结合使用时,在使用方法安全性(method security)中存在安全认证绕过。 未经授权的恶意用户可能访问到受保护的方法。
受影响的版本:
- Spring Framework 5.0.5.RELEASE + Spring Security (any version)
解决方案:
用户应确保使用的是Spring Framework 5.0.6或更高的版本。
参考链接:
https://pivotal.io/security/cve-2018-1258
CVE-2018-1259 (High)
Spring Data Commons部分版本存在XML外部实体引用漏洞。未经身份验证的远程恶意用户可以针对Spring Data的基于投影(projection-based)的请求并附加恶意的请求参数,以访问系统上的任意文件。该漏洞只影响使用XMLBeam的用户,而使用Spring Security提供的端点认证和授权可以有效的限制该漏洞。
受影响的版本:
- Spring Data Commons 1.13 to 1.13.11 (Ingalls SR11)
- Spring Data REST 2.6 to 2.6.11 (Ingalls SR11)
- Spring Data Commons 2.0 to 2.0.6 (Kay SR6)
- Spring Data REST 3.0 to 3.0.6 (Kay SR6)
解决方案:
升级至以下安全版本:
- 13.x users should upgrade to 1.13.12 (Ingalls SR12)
- 0.x users should upgrade to 2.0.7 (Kay SR7)
- 或者, upgrade to XMLBeam 1.4.15
- Spring Data REST 2.6.12 (Ingalls SR12)
- Spring Data REST 3.0.7 (Kay SR7)
参考链接:
https://pivotal.io/security/cve-2018-1259
CVE-2018-1260 (Critical)
Spring Security OAuth部分版本包含一个远程代码执行漏洞。 当资源所有者被转发到认证端点时,攻击者可以向授权端点发出一个特制的授权请求,从而导致远程执行代码。
此漏洞影响满足以下所有要求的应用程序:
- 扮演授权服务器的角色(例如@EnableAuthorizationServer)
- 使用默认的Approval端点
此漏洞不会影响以下应用程序:
- 充当授权服务器的角色,但覆盖默认的Approval端点
- 只扮演资源服务器的角色(例如@EnableResourceServer)
- 仅扮演客户角色(例如@EnableOAuthClient)
受影响的版本:
- Spring Security OAuth 2.3 to 2.3.2
- Spring Security OAuth 2.2 to 2.2.1
- Spring Security OAuth 2.1 to 2.1.1
- Spring Security OAuth 2.0 to 2.0.14
- 以及不再受支持的旧版本
解决方案:
升级至以下安全版本:
- 3.x users should upgrade to 2.3.3
- 2.x users should upgrade to 2.2.2
- 1.x users should upgrade to 2.1.2
- 0.x users should upgrade to 2.0.15
- 不再受支持的版本应升级至各自对应的安全版本
参考链接:
https://pivotal.io/security/cve-2018-1260
CVE-2018-1261 (Critical)
spring-integration-zip部分版本暴露了一个任意的文件写入漏洞,可以使用特制的zip压缩文件(也影响其他压缩文件,bzip2,tar,xz,war,cpio,7z)来实现,该压缩文件包含路径遍历文件名。 所以当文件名被连接到目标提取目录时,最终路径会在目标文件夹之外结束。
这只有在使用这个库的应用程序接受并解包不受信任的zip文件时才会发生。
受影响的版本:
- Spring Integration Zip Community Extension Project version 1.0.0.RELEASE
解决方案:
升级至以下安全版本:
- 0.1.RELEASE
同时,应避免解压来历不明的zip文件。
参考链接:
https://pivotal.io/security/cve-2018-1261
声 明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。