描述

Spring Security 5.3.x 版本低於 5.3.2，5.2.x 版本低於 5.2.4，5.1.x 版本低於 5.1.10，5.0.x 版本低於 5.0.16 和 4.2.x 版本低於 4.2.16 在可查詢文字加密器的實現中使用帶有 CBC 模式的固定 null 初始化向量。 惡意使用者如果可以訪問使用此類加密器加密的資料，則可能能夠使用字典攻擊來匯出未加密的值。

受影響的 Spring 產品和版本

• Spring Security
  • 5.3.x 版本低於 5.3.2
  • 5.2.x 版本低於 5.2.4
  • 5.1.x 版本低於 5.1.10
  • 5.0.x 版本低於 5.0.16
  • 4.2.x 版本低於 4.2.16

緩解措施

所有使用者應停止使用 Encryptors#queryableText(CharSequence, CharSequence)，並依靠其資料儲存來查詢加密資料。 使用者應執行以下升級，因為此方法已在新版本的 Spring Security 中被棄用。 較舊的版本應升級到受支援的分支。 已修復此問題的版本包括

• Spring Security
  • 5.3.2
  • 5.2.4
  • 5.1.10
  • 5.0.16
  • 4.2.16

鳴謝

此問題由 ForgeRock 的 Neil Madden 發現並負責任地報告。

參考文獻

• https://cwe.mitre.org/data/definitions/329.html

歷史

• 2020-05-07：釋出了初始漏洞報告。