Spring Framework 多个安全漏洞预警

栏目: IT资讯 · 发布时间: 6年前

内容简介:4月5日,Pivotal 发布了 Spring Framework 存在多个安全漏洞的公告: (1)spring-messaging 模块远程代码执行漏洞 对应CVE编号:CVE-2018-1270 漏洞公告链接:https://pivotal.io/security/cve-2018-1270 (2)运...

4月5日,Pivotal 发布了 Spring Framework 存在多个安全漏洞的公告:

(1)spring-messaging 模块远程代码执行漏洞

对应CVE编号:CVE-2018-1270

漏洞公告链接:https://pivotal.io/security/cve-2018-1270

(2)运行于 Windows 系统的 Spring MVC 存在目录遍历漏洞

对应CVE编号:CVE-2018-1271

漏洞公告链接:https://pivotal.io/security/cve-2018-1271

(3)Spring MVC 或 Spring WebFlux 服务器存在 Multipart 类型污染漏洞

对应CVE编号:CVE-2018-1272

漏洞公告链接:https://pivotal.io/security/cve-2018-1272

漏洞描述

CVE-2018-1270漏洞:Spring Framework的5.*版本、4.3.*版本以及不再支持的旧版本,通过spring-messaging和spring-websocket模块提供的基于WebSocket的STOMP,存在被攻击者建立WebSocket连接并发送恶意攻击代码的可能,从而实现远程代码执行攻击,建议尽快更新到新的版本。

CVE-2018-1271漏洞:Spring Framework的5.*版本、4.3.*版本以及不再支持的旧版本,Spring MVC允许应用程序对其配置提供静态资源,在Windows系统上实现该功能时,攻击者通过请求构造的特定资源URL,可能导致目录遍历的效果产生,建议尽快更新到新的版本。

CVE-2018-1272漏洞:Spring Framework的5.*版本、4.3.*版本以及不再支持的旧版本,当Spring MVC或Spring WebFlux服务器接受把客户端请求再转向另一台服务器的场景下,攻击者通过构造和污染Multipart类型请求,可能对另一台服务器实现权限提升攻击,建议尽快更新到新的版本。

漏洞影响范围

Spring spring-messaging远程代码执行漏洞(CVE-2018-1270)、(CVE-2018-1271)、(CVE-2018-1272)等影响版本如下:

(1)Spring Framework 5.*(5.0到5.0.4)版本,建议更新到5.0.5版本

(2)Spring Framework 4.3.*(4.3到4.3.14)版本,建议更新到4.3.15版本

(3)以及不再受支持的旧版本,建议更新到4.3.15版本或5.0.5版本

官方历史安全公告列表,请参考:

https://pivotal.io/security/

https://spring.io/blog/2018/04/05/multiple-cve-reports-published-for-the-spring-framework

来自安恒信息


【声明】文章转载自:开源中国社区 [http://www.oschina.net]


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

剑指Offer:名企面试官精讲典型编程题(第2版)

剑指Offer:名企面试官精讲典型编程题(第2版)

何海涛 / 电子工业出版社 / 2017-5 / 65.00

《剑指Offer:名企面试官精讲典型编程题(第2版)》剖析了80个典型的编程面试题,系统整理基础知识、代码质量、解题思路、优化效率和综合能力这5个面试要点。《剑指Offer:名企面试官精讲典型编程题(第2版)》共分7章,主要包括面试的流程,讨论面试每一环节需要注意的问题;面试需要的基础知识,从编程语言、数据结构及算法三方面总结程序员面试知识点;高质量的代码,讨论影响代码质量的3个要素(规范性、完整......一起来看看 《剑指Offer:名企面试官精讲典型编程题(第2版)》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具