欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 1187|回复: 2

[安全通知] 关于Spring Framework多个高危安全漏洞通知

[复制链接]

201

主题

0

好友

1万

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
31080
威望
12873
发表于 2018-4-7 14:27:12 |显示全部楼层
尊敬的腾讯云客户:
  您好,近日,腾讯云安全中心监测到Spring Framework被曝存在 多个高危安全漏洞(漏洞编号:CVE-2018-1270及CVE-2018-1271),攻击者可利用该漏洞进行远程代码执行和目录遍历攻击
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

【漏洞详情】
   Spring Framework近日发布新版本,修复了3个安全漏洞,在一定场景下可导致业务机器被控制,服务不可用,漏洞详细信息如下:
  1)Spring-messaging模块远程代码执行漏洞(严重,CVE-2018-1270)
    通过基于spring-messaging和spring-websocket模块提供的WebSocket的STOMP,可能存在利用WebSocket连接发送恶意攻击代码的风险,从而实现远程代码执行攻击;
  2) Windows系统下的Spring MVC存在目录遍历漏洞(高危,CVE-2018-1271)
    Spring MVC允许应用程序对其配置提供静态资源,在Windows系统上实现该功能时,攻击者通过请求构造的特定资源URL,可能导致目录遍历;   
  3)Spring MVC或Spring WebFlux服务器存在Multipart类型污染漏洞(低危,CVE-2018-1272)
    当Spring MVC或Spring WebFlux服务器转发客户端请求到另一台服务器的场景下,通过构造和污染Multipart类型请求,可能实现对另一台服务器权限提升攻击;

【风险等级】
  1)CVE-2018-1270:远程代码执行漏洞,安全风险等级:严重
  2) CVE-2018-1271:目录遍历漏洞,安全风险等级:
  3) CVE-2018-1272:权限提升漏洞安全风险等级:低危

【漏洞风险】
   导致业务机器被远程控制,服务不可用;

【影响版本】
  1)Spring Framework 5.*(5.0到5.0.4)版本;
  2)Spring Framework 4.3.*(4.3到4.3.14)版本;
  3)官方已停止维护的旧版本;

【安全版本】
  4.3.15版本或5.0.5版本;

【修复建议】
   建议您参照上述【安全版本】升级到对应的修复版本,下载链接:https://projects.spring.io/spring-framework/

【漏洞参考】
  1)官方博客:https://spring.io/blog/2018/04/03/spring-framework-5-0-5-and-4-3-15-available-now
  2)官方博客:https://spring.io/blog/2018/04/05/multiple-cve-reports-published-for-the-spring-framework

  3)官方通告:https://pivotal.io/security/




2017/4/7

0

主题

0

好友

110

积分

小白[LV1]

Rank: 1

云币
490
威望
110
发表于 2018-4-10 12:55:45 |显示全部楼层
poc出来了。。。
回复

使用道具 举报

0

主题

0

好友

110

积分

小白[LV1]

Rank: 1

云币
490
威望
110
发表于 2018-4-10 13:02:37 |显示全部楼层
一点 发表于 2018-4-10 12:55
poc出来了。。。

https://www.anquanke.com/post/id/104140
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-7-18 05:25 , Processed in 1.159049 second(s), 29 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部