Spring Security 建議

RSS 源

CVE-2017-8045:spring-amqp 中的遠端程式碼執行

| 2017 年 9 月 19 日 | CVE-2017-8045

描述

在受影響的 Spring AMQP 版本中,當 org.springframework.amqp.core.Message 被轉換為字串時,可能會被不安全地反序列化。惡意攻擊者可以構造特製的載荷來利用此漏洞,從而實現遠端程式碼執行攻擊。

受影響的 Spring 產品和版本

  • 1.7.4、1.6.11 和 1.5.7 之前的 Spring AMQP 版本

緩解措施

受影響版本的使用者應採取以下緩解措施

  • 已修復此問題的釋出版本包括
    • Spring AMQP:2.0.0、1.7.4、1.6.11、1.5.7

致謝

此漏洞由 Semmle 和 lgtm.com 的 Man Yue Mo 負責任地報告。

參考資料

歷史

2017-09-19:首次披露漏洞報告

報告漏洞

要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略

領先一步

VMware 提供培訓和認證,助您加速進步。

瞭解更多

獲得支援

Tanzu Spring 提供 OpenJDK™、Spring 和 Apache Tomcat® 的支援和二進位制檔案,只需一份簡單的訂閱。

瞭解更多

即將舉行的活動

檢視 Spring 社群所有即將舉行的活動。

檢視所有