描述

Spring Security 4.2.x 版本低於 4.2.12、5.0.x 版本低於 5.0.12 和 5.1.x 版本低於 5.1.5，在使用 SecureRandomFactoryBean#setSeed 配置 SecureRandom 例項時，存在不安全隨機性漏洞。 為了受到影響，誠實的應用程式必須提供種子，並使生成的隨機材料可供攻擊者檢查。

受影響的 Spring 產品和版本

• Spring Security 4.2 到 4.2.11
• Spring Security 5.0 到 5.0.11
• Spring Security 5.1 到 5.1.4

緩解措施

受影響版本的使用者應應用以下緩解措施

• 4.2.x 使用者應升級到 4.2.12
• 5.0.x 使用者應升級到 5.0.12
• 5.1.x 使用者應升級到 5.1.5

鳴謝

Thijs Alkemade 識別並負責地報告了此問題。

歷史

2019-04-02：釋出初始漏洞報告。