描述

Spring Data Commons，版本早於 1.13 至 1.13.10、2.0 至 2.0.5 以及更早的不受支援的版本，存在一個由於無限資源分配引起的屬性路徑解析器漏洞。未經身份驗證的遠端惡意使用者（或攻擊者）可以針對 Spring Data REST 端點或使用屬性路徑解析的端點發出請求，從而導致拒絕服務（CPU 和記憶體消耗）。

受影響的 Spring 產品和版本

• Spring Data Commons 1.13 到 1.13.10 (Ingalls SR10)
• Spring Data REST 2.6 到 2.6.10 (Ingalls SR10)
• Spring Data Commons 2.0 到 2.0.5 (Kay SR5)
• Spring Data REST 3.0 到 3.0.5 (Kay SR5)
• 更舊的不受支援的版本也受到影響

緩解措施

受影響版本的使用者應採取以下緩解措施

• 2.0.x 使用者應升級到 2.0.6
• 1.13.x 使用者應升級到 1.13.11
• 舊版本應升級到受支援的分支

已修復此問題的釋出版本包括

• Spring Data REST 2.6.11 (Ingalls SR11)
• Spring Data REST 3.0.6 (Kay SR6)

無需其他緩解步驟。

請注意，對端點使用身份驗證和授權（兩者均由 Spring Security 提供）將此漏洞的暴露限制在授權使用者。

致謝

此問題由 Yevhenii Hrushka (Yevgeniy Grushka)，Fortify Webinspect 發現並負責任地報告。

參考資料

• https://jira.spring.io/browse/DATACMNS-1285
• https://github.com/spring-projects/spring-data-commons/commit/371f6590c509c72f8e600f3d05e110941607fbad
• https://github.com/spring-projects/spring-data-commons/commit/3d8576fe4e4e71c23b9e6796b32fd56e51182ee0

歷史

2018-04-10: 初始漏洞報告發布

• 2018-04-17: 更新了修復此問題的版本列表