欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 1082|回复: 0

[安全通知] 关于Spring官方发布多个组件安全漏洞通知

[复制链接]

73

主题

9

好友

7512

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
53921
威望
7512
发表于 2018-5-10 16:57:31 |显示全部楼层
尊敬的腾讯云客户:
    您好,近日,腾讯云安全中心监测到Spring官方披露了Framework、Data Commons、Security OAuth等在内的多个严重安全漏洞(漏洞编号:CVE-2018-1257~CVE-2018-1261),攻击者可利用该漏洞实施DoS攻击、远程代码执行攻击或获取敏感信息泄露。
        为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

【漏洞详情】
   此次Spring官方漏洞主要集中在Framework、Data Commons、Security OAuth等组件上,详情如下:
    1) CVE-2018-1257:spring-messaging消息模块ReDoS攻击
    Spring Framework 部分版本允许应用程序利用Spring消息模块(spring-messaging)通过简单的内存STOMP代理在WebSocket端点上暴露STOMP,攻击者可以向broker发送一条特制的消息,从而引起拒绝服务攻击。
    2)CVE-2018-1258: Spring Security组件Method Security非授权访问
    Spring Security 与 Spring Framework 5.0.5.RELEASE 结合使用时,使用到方法安全性(method security)会存在安全认证绕过,未经授权的恶意用户可能获取到一些限制方法的访问权限。
    3)CVE-2018-1259: Spring Data 集成 XMLBeam存在XXE漏洞
    Spring Data Commons 部分版本存在XML外部实体引用漏洞,未经身份验证的远程恶意用户可构造特定恶意请求参数到Spring Data的projection-based 请求中,从而达到访问系统上任意文件的目的。该漏洞仅影响使用XMLBeam的用户,Spring Security提供的端点认证和授权功能可以有效的限制该漏洞的影响。
    4)CVE-2018-1260: Spring Security OAuth2 远程代码执行漏洞
    Spring Security OAuth 部分版本包含一个远程代码执行漏洞。 恶意的用户或攻击者向授权端点发出一个特制的授权请求,当资源所有者被转发到认证端点时,可以导致远程执行代码。
    5)CVE-2018-1261: Spring Integration Zip 任意文件写入漏洞
    Spring Integration Zip 部分版本被曝存在任意的文件写入漏洞,可以使用特制的zip压缩文件(也影响其他压缩文件,如bzip2,tar,xz,war,cpio,7z)来实现攻击(包含路径遍历文件名),所以当文件名关联到目标解压目录时,最终解压路径会在目标文件夹之外。
   该漏洞利用有一定条件限制,只有在使用这个库的应用程序接受并解包不受信任的zip文件时才可能触发。

【风险等级】
   高风险

【漏洞风险】
   DoS攻击、远程代码执行攻击或获取敏感信息泄露

【影响版本】
  1)CVE-2018-1257 受影响的版本:
  • Spring Framework 5.0 to 5.0.5
  • Spring Framework 4.3 to 4.3.16
  • 官方已停止支持的旧版本
  2) CVE-2018-1258 受影响的版本:
  • Spring Framework 5.0.5.RELEASE 与 Spring Security (any version) 同时使用
  3) CVE-2018-1259 受影响的版本:
  • Spring Data Commons 1.13 to 1.13.11 (Ingalls SR11)
  • Spring Data REST 2.6 to 2.6.11 (Ingalls SR11)
  • Spring Data Commons 2.0 to 2.0.6 (Kay SR6)
  • Spring Data REST 3.0 to 3.0.6 (Kay SR6)
   4)CVE-2018-1260 受影响的版本:
  • Spring Security OAuth 2.3 to 2.3.2
  • Spring Security OAuth 2.2 to 2.2.1
  • Spring Security OAuth 2.1 to 2.1.1
  • Spring Security OAuth 2.0 to 2.0.14
  • 官方已停止支持的旧版本
  5)CVE-2018-1261 受影响的版本:
  • Spring Integration Zip Community Extension Project version 1.0.0.RELEASE

【安全版本】
  1)CVE-2018-1257 Spring Framework 安全版本:
  • Spring Framework 5.0.x users should upgrade to 5.0.6.
  • Spring Framework 4.3.x users should upgrade to 4.3.17.
  • 官方已停止支持的版本建议升级至各自对应的安全版本
  2)CVE-2018-1258 Spring Framework 安全版本:
  • 建议用户使用Spring Framework 5.0.6或更高的版本。
  3)CVE-2018-1259 Spring Data Commons及Spring Data REST安全版本:
  • 缓解方案:Spring Data Commons 1.13.x users should upgrade to 1.13.12 (Ingalls SR12)
  • 缓解方案:Spring Data Commons 2.0.x users should upgrade to 2.0.7 (Kay SR7)
  • 缓解方案:upgrade to XMLBeam 1.4.15
  • 版本修复:Spring Data REST 2.6.12 (Ingalls SR12)
  • 版本修复:Spring Data REST 3.0.7 (Kay SR7)
  4)CVE-2018-1260 安全版本:
  • Spring Security OAuth 2.3.x users should upgrade to 2.3.3
  • Spring Security OAuth 2.2.x users should upgrade to 2.2.2
  • Spring Security OAuth 2.1.x users should upgrade to 2.1.2
  • Spring Security OAuth 2.0.x users should upgrade to 2.0.15
  • 官方已停止支持的版本建议升级到各自对应的安全版本
  5) CVE-2018-1261 安全版本:
  • Spring Integration Zip 1.0.1.RELEASE
  • 同时建议用户避免解压来历不明的zip文件

【修复建议】
  建议您更新受影响的版本到【安全版本】,下载地址如下:
   Spring Security OAuth:https://projects.spring.io/spring-security-oauth/
   Spring Data REST:https://projects.spring.io/spring-data-rest/
   Spring Framework: https://projects.spring.io/spring-framework/
   Spring Integration Zip:https://github.com/spring-projects/spring-integration-extensions/tree/master/spring-integration-zip
   Spring Data Commons:https://github.com/spring-projects/spring-data-commons/releases

【温馨提醒】:建议变更前提前做好数据备份和验证评估,避免变更引起业务不可用。

【漏洞参考】
  1)官方安全通告:https://pivotal.io/security


2017/5/10
您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-11-15 17:19 , Processed in 1.123887 second(s), 28 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部