搶先一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2014-0054 CVE-2013-7315 / CVE-2013-6429 (XXE) 的不完整修復
描述
Spring MVC 的 Jaxb2RootElementHttpMessageConverter 也處理使用者提供的 XML,並且既沒有停用 XML 外部實體,也沒有提供停用它們的選項。 Jaxb2RootElementHttpMessageConverter 已被修改為提供一個選項來控制 XML 外部實體的處理,並且該處理現在預設停用。
受影響的 Spring 產品和版本
- Spring MVC 3.0.0 到 3.2.7
- Spring MVC 4.0.0 到 4.0.1
- 早期不受支援的版本可能受到影響
緩解措施
受影響版本的使用者應採取以下緩解措施
- 3.x 的使用者應升級到 3.2.8 或更高版本
- 4.x 的使用者應升級到 4.0.2 或更高版本
致謝
Spase Markovski 向 Spring Framework 開發人員報告了此問題。
參考
- https://jira.springsource.org/browse/SPR-11376
- https://github.com/spring-projects/spring-framework/commit/edba32b3093703d5e9ed42b5b8ec23ecc1998398#diff-1f3f1d5cdab9ac92d1ca5ec7def8f131
- https://github.com/spring-projects/spring-framework/commit/fb0683c066e74e9667d6cd8c5fa01f674c68c3be#diff-1f3f1d5cdab9ac92d1ca5ec7def8f131
歷史
2014 年 3 月 11 日:釋出初始漏洞報告。
- 2014 年 6 月 19 日:更新以反映 CVE-2013-4152 分割為 CVE-2013-4152 和 CVE-2013-7315。
- 2014 年 8 月 19 日:更正受影響的版本以排除 Spring MVC 3.2.8 幷包含對 3.2.x 提交的引用。
報告漏洞
要報告 Spring 產品組合中的專案的安全漏洞,請參閱安全策略