描述

Spring Framework 5.0.x 版本低於 5.0.6 和 4.3.x 版本低於 4.3.17，以及更舊的不受支援的版本允許應用程式透過 spring-messaging 模組使用簡單的記憶體 STOMP 代理公開 STOMP over WebSocket 端點。惡意使用者（或攻擊者）可以構造一條訊息傳送到代理，從而導致正則表示式拒絕服務攻擊。

此漏洞會暴露滿足以下所有要求的應用程式

• 依賴 spring-messaging 和 spring-websocket 模組。
• 註冊 STOMP over WebSocket 端點。
• 啟用簡單的 STOMP 代理。

受影響的 Spring 產品和版本

• Spring Framework 5.0 到 5.0.5
• Spring Framework 4.3 到 4.3.16
• 較舊的不受支援的版本也受到影響

緩解措施

受影響版本的使用者應應用以下緩解措施

• 5.0.x 使用者應升級到 5.0.6。
• 4.3.x 使用者應升級到 4.3.17。
• 舊版本應升級到受支援的分支。

沒有其他必要的緩解步驟。

請注意，對訊息使用身份驗證和授權（這兩者均由 Spring Security 提供）會將此漏洞暴露給授權使用者。

鳴謝

此問題由 Recruit Technologies Co., Ltd. 的 Muneaki Nishimura (nishimunea) 發現並負責任地報告。

參考

• 示例 https://docs.springframework.tw/spring/docs/current/spring-framework-reference/web.html#websocket-stomp-enable'>STOMP over WebSocket 配置，其中啟用了簡單代理。
• https://docs.springframework.tw/spring-security/site/docs/5.0.3.RELEASE/reference/htmlsingle/#websocket'>Spring Security WebSocket 支援文件。

歷史

2018-05-09：釋出初始漏洞報告