Spring Security 公告

CVE-2019-3799：spring-cloud-config-server 目錄遍歷漏洞

高危 | 2019 年 4 月 16 日 | CVE-2019-3799

描述

Spring Cloud Config 2.1.x 版本（低於 2.1.2）、2.0.x 版本（低於 2.0.4）、1.4.x 版本（低於 1.4.6）以及更舊的不受支援版本允許應用程式透過 spring-cloud-config-server 模組提供任意配置檔案。惡意使用者或攻擊者可以使用精心設計的 URL 傳送請求，從而導致目錄遍歷攻擊。

受影響的 Spring 產品和版本

Spring Cloud Config 2.1.0 到 2.1.1
Spring Cloud Config 2.0.0 到 2.0.3
Spring Cloud Config 1.4.0 到 1.4.5
較舊的不受支援的版本也受到影響

緩解措施

受影響版本的使用者應採取以下緩解措施

2.1.x 使用者應升級到 2.1.2
2.0.x 使用者應升級到 2.0.4
1.4.x 使用者應升級到 1.4.6
舊版本應升級到受支援的分支
請注意，spring-cloud-config-server 應該僅在內部網路上提供給需要它的客戶端，並且應該使用 Spring Security 進行保護。這會將此漏洞暴露範圍限制為具有內部網路訪問許可權以及具有適當身份驗證的使用者。

致謝

此問題由平安銀河實驗室的 Vern（[email protected]）發現並負責任地報告。

參考

https://cloud.spring.io/spring-cloud-config/multi/multi__spring_cloud_config_server.html#_security'>保護 Spring Cloud Config Server 文件。

歷史

2019-04-16：釋出初始漏洞報告。

報告漏洞

要報告 Spring 產品組合中某個專案的安全漏洞，請參閱安全策略