描述

Spring Framework 5.1 版，5.0.x 版本（低於 5.0.10），4.3.x 版本（低於 4.3.20）以及 4.2.x 分支上的較舊的不受支援的版本，在使用 ResourceHttpRequestHandler 提供靜態資源時，或從 5.0 開始，當帶註釋的控制器返回一個 org.springframework.core.io.Resource 時，提供對範圍請求的支援。惡意使用者（或攻擊者）可以新增一個具有大量範圍或具有重疊的寬範圍的範圍標頭，或者兩者兼有，從而發起拒絕服務攻擊。

此漏洞影響依賴於 spring-webmvc 或 spring-webflux 的應用程式。 此類應用程式還必須註冊以提供靜態資源（例如 JS、CSS、影像等），或者具有返回 org.springframework.core.io.Resource 的帶註釋的控制器。

依賴於 spring-boot-starter-web 或 spring-boot-starter-webflux 的 Spring Boot 應用程式已準備好開箱即用地提供靜態資源，因此容易受到攻擊。

受影響的 Spring 產品和版本

• Spring Framework 5.1
• Spring Framework 5.0.0 到 5.0.9
• Spring Framework 4.3 到 4.3.19
• 自 4.2 以來的較舊的不受支援的版本也受到影響

緩解措施

受影響版本的使用者應應用以下緩解措施

• 5.1 使用者應升級到 5.1.1
• 5.0.x 使用者應升級到 5.0.10
• 4.3.x 使用者應升級到 4.3.20
• 4.2.x 使用者應升級到受支援的分支。

無需進一步的緩解步驟。

在評估影響時，請注意以下事項

• 對範圍請求的支援是在 4.2 版中引入的。 因此，低於 4.2 的版本不受此問題的影響。
• 從帶註釋的控制器返回 org.springfamework.core.io.Resource 的支援是在 5.0 中引入的。 因此，低於 5.0 的版本只能透過註冊來提供靜態資源而受到影響。

鳴謝

此問題由 Aruba Threat Labs 的 Nicholas Starke 發現並負責任地報告。

歷史

2018-10-16：釋出了初始漏洞報告。