描述

Spring Security 在處理安全約束時不考慮 URL 路徑引數。 透過向請求新增帶有編碼“/”的 URL 路徑引數，攻擊者可能能夠繞過安全約束。 此問題的根本原因是 Servlet 規範中對路徑引數的處理缺乏明確性（見下文）。 一些 Servlet 容器在為 getPathInfo() 返回的值中包含路徑引數，而另一些則不包含。 Spring Security 使用 getPathInfo() 返回的值作為將請求對映到安全約束的過程的一部分。 路徑引數的意外存在可能導致約束被繞過。

Apache Tomcat（所有當前版本）的使用者不受此漏洞的影響，因為 Tomcat 遵循 Servlet 專家組先前提供的指導，並從 getContextPath()、getServletPath() 和 getPathInfo() [1] 返回的值中刪除路徑引數。

基於 Apache Tomcat 的其他 Servlet 容器的使用者可能會受到影響，具體取決於路徑引數的處理是否已修改。

已知 IBM WebSphere Application Server 8.5.x 的使用者會受到影響。

實現 Servlet 規範的其他容器的使用者可能會受到影響。

[1] https://issues.apache.org/bugzilla/show_bug.cgi?id=25015

受影響的 Spring 產品和版本

• Spring Security 3.2.0 - 3.2.9
• Spring Security 4.0.x - 4.1.3
• Spring Security 4.2.0
• 較舊的不受支援的版本也受到影響

緩解措施

採用以下緩解措施之一將防止此漏洞。

• 使用已知不在 getServletPath() 和 getPathInfo() 的返回值中包含路徑引數的 Servlet 容器
• 升級到 Spring Security 3.2.10、4.1.4 或 4.2.1 將拒絕請求，如果檢測到存在編碼的“/”，則會丟擲 RequestRejectedException。 注意：如果您希望停用此功能，可以透過設定 DefaultHttpFirewall.allowUrlEncodedSlash = true 來停用它。 但是，停用此功能意味著應用程式容易受到攻擊（在使用 getServletPath() 或 getPathInfo() 返回路徑引數的容器中）。

致謝

此問題由 NTT DATA Corporation 的 Shumpei Asahara 和 Yuji Ito 發現，並負責任地報告給 Pivotal。

參考文獻

• http://www.securityfocus.com/archive/1/archive/1/514517/100/0/threaded
• https://github.com/spring-projects/spring-security/issues/4169

歷史記錄

2016-12-28：釋出初始漏洞報告