領先一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2017-8028:使用 userSearch 和 STARTTLS 的 Spring-LDAP 身份驗證允許使用任意密碼進行身份驗證
描述
當連線到某些 LDAP 伺服器時,當沒有繫結其他屬性時,並且當使用帶有 org.springframework.ldap.core.support.DefaultTlsDirContextAuthenticationStrategy 作為身份驗證策略的 LDAP BindAuthenticator 並設定 userSearch 時,如果使用者名稱正確,則允許使用任意密碼進行身份驗證。 發生這種情況是因為某些 LDAP 供應商需要顯式操作才能使 LDAP 繫結生效。
受影響的 Spring 產品和版本
- Spring-LDAP 版本 1.3.0 - 2.3.1
緩解措施
受影響版本的使用者應應用以下緩解措施
- 升級到 Spring-LDAP 版本 2.3.2.RELEASE+
鳴謝
此漏洞由 Tobias Schneider 負責任地報告。
參考
- https://github.com/spring-projects/spring-ldap/pull/432
- https://github.com/spring-projects/spring-ldap/issues/430
歷史
2017-10-16:釋出初始漏洞報告
報告漏洞
要報告 Spring 產品組合中的專案的安全漏洞,請參閱安全策略