Spring Security 安全公告

RSS 訂閱

CVE-2014-0097 空密碼可能繞過使用者身份驗證

| 2014 年 3 月 11 日 | CVE-2014-0097

描述

ActiveDirectoryLdapAuthenticator 不檢查密碼長度。 如果目錄允許匿名繫結,則它可能會錯誤地驗證提供空密碼的使用者。

受影響的 Spring 產品和版本

  • Spring Security 3.2.0 到 3.2.1
  • Spring Security 3.1.0 到 3.1.5

緩解措施

受影響版本的使用者應採取以下緩解措施

  • 3.2.x 的使用者應升級到 3.2.2 或更高版本
  • 3.1.x 的使用者應升級到 3.1.6 或更高版本

貢獻

此問題由 Spring 開發團隊發現。

參考

歷史

2014-Mar-11:釋出初始漏洞報告

  • 2014-Mar-11:更正受影響的版本以新增 3.1.0 到 3.1.5
  • 2014-Jun-19:為 3.1.x 使用者新增緩解措施

報告漏洞

要報告 Spring 組合中的專案的安全漏洞,請參閱安全策略

搶先一步

VMware 提供培訓和認證,以加速您的進度。

瞭解更多

獲取支援

Tanzu Spring 在一個簡單的訂閱中提供對 OpenJDK™、Spring 和 Apache Tomcat® 的支援和二進位制檔案。

瞭解更多

即將舉行的活動

檢視 Spring 社群中所有即將舉行的活動。

檢視全部