Spring Security 公告

RSS feed

CVE-2017-8045:spring-amqp 中的遠端程式碼執行漏洞

| 2017 年 9 月 19 日 | CVE-2017-8045

描述

在受影響的 Spring AMQP 版本中,當 org.springframework.amqp.core.Message 被轉換為字串時,可能會被不安全地反序列化。 可以精心製作惡意有效負載來利用此漏洞,從而實現遠端程式碼執行攻擊。

受影響的 Spring 產品和版本

  • Spring AMQP 1.7.4、1.6.11 和 1.5.7 之前的版本

緩解措施

受影響版本的使用者應應用以下緩解措施

  • 已修復此問題的版本包括
    • Spring AMQP:2.0.0、1.7.4、1.6.11、1.5.7

鳴謝

此漏洞由 Semmle 的 Man Yue Mo 和 lgtm.com 負責任地報告。

參考

歷史

2017-09-19:釋出初始漏洞報告

報告漏洞

要報告 Spring 產品組合中某個專案的安全漏洞,請參閱安全策略

更進一步

VMware 提供培訓和認證,以加速您的進步。

瞭解更多

獲取支援

Tanzu Spring 在一個簡單的訂閱中提供 OpenJDK™、Spring 和 Apache Tomcat® 的支援和二進位制檔案。

瞭解更多

即將舉行的活動

檢視 Spring 社群中所有即將舉行的活動。

檢視全部