描述

Spring Security 5.3.x 早於 5.3.2 版本，5.2.x 早於 5.2.4 版本，5.1.x 早於 5.1.10 版本，5.0.x 早於 5.0.16 版本以及 4.2.x 早於 4.2.16 版本在查詢文字加密器的實現中使用了固定空初始向量的 CBC 模式。具有訪問使用此類加密器加密的資料許可權的惡意使用者可能能夠透過字典攻擊推匯出未加密的值。

受影響的 Spring 產品和版本

• Spring Security
  • 5.3.x 早於 5.3.2
  • 5.2.x 早於 5.2.4
  • 5.1.x 早於 5.1.10
  • 5.0.x 早於 5.0.16
  • 4.2.x 早於 4.2.16

緩解措施

所有使用者都應停止使用 Encryptors#queryableText(CharSequence, CharSequence) ，並依賴其資料儲存來查詢加密資料。使用者應執行以下升級，因為此方法在較新版本的 Spring Security 中已被棄用。舊版本應升級到受支援的分支。已修復此問題的版本包括

• Spring Security
  • 5.3.2
  • 5.2.4
  • 5.1.10
  • 5.0.16
  • 4.2.16

致謝

此問題由 ForgeRock 的 Neil Madden 發現並負責任地報告。

參考資料

• https://cwe.mitre.org/data/definitions/329.html

歷史

• 2020-05-07：首次釋出漏洞報告。