欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 688|回复: 1

[安全通知] 关于Spring Data Commons多个严重安全漏洞通知

[复制链接]

202

主题

0

好友

1万

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
31230
威望
12933
发表于 2018-4-11 18:26:17 |显示全部楼层
尊敬的腾讯云客户:
    您好,近日,腾讯云安全中心监测到Spring官方披露了Data Commons存在的多个严重安全漏洞(漏洞编号:CVE-2018-1273及CVE-2018-1274),攻击者可利用该漏洞远程控制业务服务器或导致业务不可用
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

【漏洞详情】
    1) 远程代码执行漏洞(CVE-2018-1273)
    Spring Data 是Spring 的一个子项目, 旨在统一和简化对各类型持久化存储, 而不拘泥于是关系型数据库还是NoSQL 数据存储。Spring Data Commons是其中一个共用的基础设施模块。该模块未对特殊属性进行安全处理,导致未授权的攻击者在请求资源时,可以构造特殊的参数进行攻击,实现在服务端执行远程代码.
    2)拒绝服务漏洞(CVE-2018-1274)
    Spring Data Commons模块在解析较长的属性路径时,未限制资源分配,导致未授权的攻击者可以通过消耗CPU和内存来实现拒绝服务攻击;

【风险等级】
   严重

【漏洞风险】
   业务机器被控制,服务不可用

【影响版本】
   目前已知受影响版本如下:
  • Spring Data Commons 1.13 to 1.13.10 (Ingalls SR10)
  • Spring Data REST 2.6 to 2.6.10 (Ingalls SR10)
  • Spring Data Commons 2.0 to 2.0.5 (Kay SR5)
  • Spring Data REST 3.0 to 3.0.5 (Kay SR5)
  • 官方不再支持的旧版本

【安全版本】
   Spring Data Commons模块更新如下:
  • Spring Data Commons 2.0.x 用户请升级到 2.0.6
  • Spring Data Commons 1.13.x 用户请升级到 1.13.11
  • 使用官方已停止支持的老版本用户,请升级到当前官方提供支持的新版本

   已经修复漏洞官方版本如下:
  • Spring Data REST 2.6.11 (Ingalls SR11)
  • Spring Data REST 3.0.6 (Kay SR6)
  • Spring Boot 1.5.11
  • Spring Boot 2.0.1

【修复建议】
  建议您更新受影响的版本到【安全版本】,下载地址如下:
   Spring Boot:https://projects.spring.io/spring-boot/
   Spring Data REST:https://projects.spring.io/spring-data-rest/
   Spring Data Commons:https://github.com/spring-projects/spring-data-commons/releases
【温馨提醒】:建议变更前提前做好数据备份和验证评估,避免变更引起业务不可用。

【漏洞参考】
  1)官方通告-CVE-2018-1273:https://pivotal.io/security/cve-2018-1273
  2)官方通告-CVE-2018-1274:https://pivotal.io/security/cve-2018-1274


2017/4/11

25

主题

0

好友

1230

积分

攻城师[LV3]

Rank: 3Rank: 3Rank: 3

云币
2910
威望
1230
发表于 2018-4-13 11:06:46 |显示全部楼层
自主研发鲨鱼金安cdn系统:
全球节点分布,专线纯净网络、600+数据节点,99.999%数据可靠性
支持电信、移动、联通和BGP线路,为客户保持稳定、流畅的访问体验
500G超强防护 优质骨干节点机房资源
具备防御超大流量的DDOS攻击及无视CC攻击的能力
鲨鱼金安让世界更安全:http://www.cluster99.com/
咨询请加QQ: 2071468113(高防CDN可免费试用一个月)
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-7-20 03:25 , Processed in 1.182494 second(s), 35 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部