描述

提供給 ResourceServlet 的路徑未經過適當的清理，因此暴露於目錄遍歷攻擊。

受影響的 Spring 產品和版本

• Spring Framework 4.3.0 到 4.3.4
• Spring Framework 4.2.0 到 4.2.8
• Spring Framework 3.2.0 到 3.2.17
• 較舊的不受支援的版本也受到影響

緩解措施

受影響版本的使用者應應用以下緩解措施

• 4.3.x 使用者應升級到 4.3.5
• 4.2.x 使用者應升級到 4.2.9
• 3.2.x 使用者應升級到 3.2.18

請注意，很少有應用程式會使用 ResourceServlet。自從 3.0 版本（大約 2009 年）以來，它通常已被 ResourceHttpRequestHandler 和相關類取代，這些類預設使用，並提供更高階的功能，請參閱參考文件中的“Serving Resources”。 ResourceServlet 現在在 3.2.x 和 4.x 中已棄用，並從版本 5 開始完全刪除。

鳴謝

該問題由 NTT DATA Corporation 的 Shumpei Asahara 和 Yuji Ito 發現，並負責任地報告給 Pivotal。

參考

• https://github.com/spring-projects/spring-framework/commit/e2d6e709c3c65a4951eb096843ee75d5200cfcad'>4.3.x 分支中的提交
• https://github.com/spring-projects/spring-framework/commit/43bf008fbcd0d7945e2fcd5e30039bc4d74c7a98'>4.2.x 分支中的提交
• https://github.com/spring-projects/spring-framework/commit/a7dc48534ea501525f11369d369178a60c2f47d0'>3.2.s 分支中的提交
• https://jira.spring.io/browse/SPR-14946'>https://jira.spring.io/browse/SPR-14946>

歷史記錄

2016-12-21：釋出初始漏洞報告