Spring Security 建議

RSS 源

CVE-2018-1196:透過 Spring Boot 啟動指令碼進行的符號連結許可權提升攻擊

| 2018 年 1 月 30 日 | CVE-2018-1196

描述

Spring Boot 支援一個嵌入式啟動指令碼,可用於輕鬆地將應用程式作為 systemd 或 init.d Linux 服務執行[1]。Spring Boot 1.5.9 及更早版本中包含的指令碼容易受到符號連結攻擊,該攻擊允許“run_user”覆蓋並控制同一系統上的任何檔案。

要發起攻擊,應用程式必須作為服務安裝,並且“run_user”需要對伺服器的 shell 訪問許可權。

未作為服務安裝或未使用嵌入式啟動指令碼的 Spring Boot 應用程式不受此漏洞影響。

[1] https://docs.springframework.tw/spring-boot/docs/1.5.x/reference/htmlsingle/#deployment-service

受影響的 Spring 產品和版本

  • Spring Boot
    • 1.5.0 - 1.5.9
    • 2.0.0.M1 - 2.0.0.M7
  • 較舊的、未維護的 Spring Boot 版本未進行分析,可能受到影響。

緩解措施

受影響版本的使用者應採取以下緩解措施

  • 1.5.x 使用者應更新至 1.5.10
  • 2.0.x 預釋出使用者應更新至 2.0.0.RC1

致謝

此問題由來自英國 Oracle Cloud Operations 的 Adam Stephens 發現並報告,並負責任地報告給了 Pivotal。

歷史

2018-01-30:首次釋出漏洞報告

報告漏洞

要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略

領先一步

VMware 提供培訓和認證,助您加速進步。

瞭解更多

獲得支援

Tanzu Spring 提供 OpenJDK™、Spring 和 Apache Tomcat® 的支援和二進位制檔案,只需一份簡單的訂閱。

瞭解更多

即將舉行的活動

檢視 Spring 社群所有即將舉行的活動。

檢視所有