描述

Spring Security 5.5.x 版本低於 5.5.7、5.6.x 版本低於 5.6.4 以及更早的不受支援的版本包含整數溢位漏洞。當使用 BCrypt 類且工作因子為最大值 (31) 時，由於整數溢位錯誤，編碼器不會執行任何鹽輪。

預設設定不受此 CVE 的影響。

只有在 BCryptPasswordEncoder 配置為最大工作因子的情況下才會受到影響。 由於目前計算機硬體的限制，使用如此高的工作因子在計算上是不切實際的。

您需要使用工作因子為 31 的 BCrypt 才能受到影響。您可以使用以下緩解工具來檢查您的密碼是否受到影響。

受影響的 Spring 產品和版本

• Spring Security
  • 5.5.x 版本低於 5.5.7
  • 5.6.x 版本低於 5.6.4
  • 更早的不受支援的版本

緩解措施

在更新到最新版本之前，請更新您的 BCryptPasswordEncoder 以使用較低的輪數。 在撰寫本文時，OWASP 建議值為 10。

然後，使用上面引用的緩解工具來更新您的密碼雜湊值。

更新密碼雜湊後，您應該根據以下內容更新您的版本：5.5.x 使用者應升級到 5.5.7，5.6.x 使用者應升級到 5.6.4，或者使用者應升級到 5.7.0。 升級 Spring Security 依賴項後，您應該建議受影響的使用者更改其密碼。

還可以在緩解工具中找到緩解措施常見問題解答。

已修復此問題的版本包括

• Spring Security
  • 5.5.7
  • 5.6.4
  • 5.7.0

致謝

此問題由 Eyal Kaspi 發現並負責任地報告。

參考

• https://docs.springframework.tw/spring-security/site/docs/current/reference/html5/#authentication-password-storage
• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:N/A:N/E:P/RL:O/RC:U/CR:M/IR:L/AR:L/MAV:L/MAC:H/MPR:H/MUI:N/MS:C/MC:H/MI:N/MA:N

歷史

• 2022-05-17：釋出初始漏洞報告。