描述

Spring Data Commons，1.13 到 1.13.10、2.0 到 2.0.5 之前的版本以及較舊的不受支援的版本，包含由無限資源分配導致的屬性路徑解析器漏洞。未經身份驗證的遠端惡意使用者（或攻擊者）可以針對 Spring Data REST 端點或使用屬性路徑解析的端點發出請求，從而導致拒絕服務（CPU 和記憶體消耗）。

受影響的 Spring 產品和版本

• Spring Data Commons 1.13 到 1.13.10 (Ingalls SR10)
• Spring Data REST 2.6 到 2.6.10 (Ingalls SR10)
• Spring Data Commons 2.0 到 2.0.5 (Kay SR5)
• Spring Data REST 3.0 到 3.0.5 (Kay SR5)
• 較舊的不受支援的版本也受影響

緩解措施

受影響版本的使用者應採取以下緩解措施

• 2.0.x 使用者應升級到 2.0.6
• 1.13.x 使用者應升級到 1.13.11
• 舊版本應升級到受支援的分支

已修復此問題的版本包括

• Spring Data REST 2.6.11 (Ingalls SR11)
• Spring Data REST 3.0.6 (Kay SR6)

無需採取其他緩解措施。

請注意，使用 Spring Security 提供的端點身份驗證和授權可以將此漏洞的暴露限制為授權使用者。

鳴謝

此問題由 Yevhenii Hrushka (Yevgeniy Grushka)，Fortify Webinspect 發現並負責任地報告。

參考

• https://jira.spring.io/browse/DATACMNS-1285
• https://github.com/spring-projects/spring-data-commons/commit/371f6590c509c72f8e600f3d05e110941607fbad
• https://github.com/spring-projects/spring-data-commons/commit/3d8576fe4e4e71c23b9e6796b32fd56e51182ee0

歷史

2018-04-10：釋出初始漏洞報告

• 2018-04-17：更新了修復此問題的版本列表