描述

Spring Security 4.2.x（4.2.12之前）、5.0.x（5.0.12之前）和5.1.x（5.1.5之前）版本在透過SecureRandomFactoryBean#setSeed配置SecureRandom例項時存在不安全的隨機性漏洞。要受到此漏洞影響，一個誠實的應用程式必須提供一個種子，並將由此產生的隨機資料暴露給攻擊者進行檢查。

受影響的 Spring 產品和版本

• Spring Security 4.2 至 4.2.11
• Spring Security 5.0 至 5.0.11
• Spring Security 5.1 至 5.1.4

緩解措施

受影響版本的使用者應採取以下緩解措施

• 4.2.x使用者應升級到4.2.12
• 5.0.x使用者應升級到5.0.12
• 5.1.x使用者應升級到5.1.5

致謝

此問題由Thijs Alkemade發現並負責任地報告。

歷史

2019-04-02：首次釋出漏洞報告。