領先一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2013-6429 修復 Spring Framework 中 XML 外部實體 (XXE) 注入漏洞 (CVE-2013-7315) 不完整
描述
Spring MVC 的 SourceHttpMessageConverter 也處理使用者提供的 XML,既沒有停用 XML 外部實體,也沒有提供停用它們的選項。 SourceHttpMessageConverter 已被修改為提供控制 XML 外部實體處理的選項,並且該處理現在預設停用。 隨後發現此修復也不完整 (CVE-2014-0054)。
受影響的 Spring 產品和版本
- Spring MVC 3.0.0 至 3.2.4
- Spring MVC 4.0.0.M1-4.0.0.RC1
- 早期不受支援的版本可能受影響
緩解措施
受影響版本的使用者應應用以下緩解措施
- 3.x 的使用者應升級到 3.2.5 或更高版本
- 4.x 的使用者應升級到 4.0.0 或更高版本 (這也在 4.0.0-RC2 中修復,但建議使用者使用 4.0.0 或更高版本)
- 要完全緩解此問題(包括 CVE-2014-0054),3.x 的使用者應升級到 3.2.8 或更高版本,4.x 的使用者應升級到 4.0.2 或更高版本。
鳴謝
此問題由 Spring 開發團隊發現。
參考
歷史
2014-Jan-15:初始漏洞報告。
- 2014-Jun-19:更新以反映將 CVE-2013-4152 拆分為 CVE-2013-4152 和 CVE-2013-7315。 添加了關於其他漏洞報告的資訊,該報告表明此修復不完整。
報告漏洞
要報告 Spring 產品組合中專案的安全漏洞,請參閱安全策略