描述

ActiveDirectoryLdapAuthenticator 未檢查密碼長度。如果目錄允許匿名繫結，則可能錯誤地認證了提供空密碼的使用者。

受影響的 Spring 產品和版本

• Spring Security 3.2.0 至 3.2.1
• Spring Security 3.1.0 至 3.1.5

緩解措施

受影響版本的使用者應採取以下緩解措施

• 3.2.x 使用者應升級至 3.2.2 或更高版本
• 3.1.x 使用者應升級至 3.1.6 或更高版本

致謝

此問題由 Spring 開發團隊識別。

參考資料

• https://jira.springsource.org/browse/SEC-2500
• https://github.com/spring-projects/spring-security/commit/88559882e967085c47a7e1dcbc4dc32c2c796868
• https://github.com/spring-projects/spring-security/commit/7dbb8e777ece8675f3333a1ef1cb4d6b9be80395
• https://github.com/spring-projects/spring-security/commit/a7005bd74241ac8e2e7b38ae31bc4b0f641ef973

歷史

2014-Mar-11: 釋出了初始漏洞報告

• 2014-Mar-11: 修正了受影響版本，添加了 3.1.0 至 3.1.5
• 2014-Jun-19: 為 3.1.x 使用者添加了緩解措施