領先一步
VMware 提供培訓和認證,助您加速進步。
瞭解更多CVE-2017-8028: Spring-LDAP 使用 userSearch 和 STARTTLS 進行身份驗證,允許使用任意密碼進行身份驗證
描述
當連線到某些 LDAP 伺服器時,在沒有附加屬性繫結,並使用 org.springframework.ldap.core.support.DefaultTlsDirContextAuthenticationStrategy 作為身份驗證策略的 LDAP BindAuthenticator,並且設定了 userSearch 的情況下,當用戶名正確時,可以使用任意密碼進行身份驗證。這是因為某些 LDAP 供應商需要一個顯式的操作才能使 LDAP 繫結生效。
受影響的 Spring 產品和版本
- Spring-LDAP 版本 1.3.0 - 2.3.1
緩解措施
受影響版本的使用者應採取以下緩解措施
- 升級到 Spring-LDAP 版本 2.3.2.RELEASE+
致謝
此漏洞由 Tobias Schneider 負責任地報告。
參考資料
- https://github.com/spring-projects/spring-ldap/pull/432
- https://github.com/spring-projects/spring-ldap/issues/430
歷史
2017-10-16:釋出初始漏洞報告
報告漏洞
要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略