描述

在 Spring Framework 5.2.0 - 5.2.8、5.1.0 - 5.1.17、5.0.0 - 5.0.18、4.3.0 - 4.3.28 以及更舊的不受支援的版本中，針對 CVE-2015-5211 中的 RFD 攻擊的保護可能會因所使用的瀏覽器而異，透過使用…

描述

Spring Cloud Netflix 2.2.x 版本（低於 2.2.4）、2.1.x 版本（低於 2.1.6）以及更舊的不受支援的版本允許應用程式使用 Hystrix Dashboard 的 proxy.stream 端點向託管伺服器可訪問的任何伺服器發出請求…

描述

Spring Integration 框架提供 Kryo Codec 實現作為 Java（反）序列化的替代方案。當 Kryo 配置為預設選項時，所有未註冊的類都會按需解析。這導致了“反序列化小工具”…

描述

當配置為啟用預設型別時，Jackson 包含一個可能導致任意程式碼執行的反序列化漏洞。Jackson 透過黑名單已知“反序列化小工具”修復了此漏洞。

Spring Batch 配置 Jackson 時啟用了全域性預設型別，這意味著透過之前的漏洞，如果以下所有條件都為真，則可以執行任意程式碼：

• Spring Batch 的 Jackson 支援被用於序列化作業的 ExecutionContext。
• 惡意使用者獲得了 JobRepository 使用的資料儲存（儲存要反序列化的資料）的寫入許可權。

為了防止此類攻擊，Jackson 阻止了一組不可信的小工具類被反序列化。Spring Batch 在啟用預設型別時應主動阻止未知“反序列化小工具”。

受影響的 Spring 產品和版本

• Spring Batch
  • 4.0.0 到 4.0.4
  • 4.1.0 到 4.1.4
  • 4.2.0 到 4.2.2

緩解措施

受影響版本的使用者應升級到 4.2.3 或更高版本。已修復此問題的版本包括：

• Spring Batch
  • 4.2.3

致謝

此問題由 Srikanth 發現並負責任地報告…

描述

Spring Cloud Config 2.2.x 版本（低於 2.2.3）、2.1.x 版本（低於 2.1.9）以及更舊的不受支援的版本允許應用程式透過 spring-cloud-config-server 模組提供任意配置檔案。惡意使用者或攻擊者…

描述

Spring Security 5.2.x 版本（低於 5.2.4）和 5.3.x 版本（低於 5.3.2）在 SAML 響應驗證期間包含一個簽名包裝漏洞。當使用 spring-security-saml2-service-provider 元件時，惡意使用者可以小心地…

描述

Spring Security 5.3.x 版本（低於 5.3.2）、5.2.x 版本（低於 5.2.4）、5.1.x 版本（低於 5.1.10）、5.0.x 版本（低於 5.0.16）和 4.2.x 版本（低於 4.2.16）在可查詢文字加密器的實現中使用了帶有 CBC 模式的固定空初始化向量…

描述

Reactor Netty HttpServer 0.9.3 和 0.9.4 版本暴露於 URISyntaxException，這會導致連線過早關閉而不是產生 400 響應。

受影響的 Spring 產品和版本

• Reactor Netty
  • 0.9.3
  • 0.9.4

緩解措施

受影響版本的使用者應升級到 0.9.5（reactor-bom Dysprosium SR-5）。無需其他步驟。

• Reactor Netty
  • 0.9.5

致謝

此問題是…

描述

Reactor Netty HttpClient 0.9.x 版本（低於 0.9.5）和 0.8.x 版本（低於 0.8.16）可能被錯誤使用，導致重定向到不同域時憑據洩漏。要發生這種情況，HttpClient 必須已…

描述

Spring Cloud Config 2.2.x 版本（低於 2.2.2）、2.1.x 版本（低於 2.1.7）以及更舊的不受支援的版本允許應用程式透過 spring-cloud-config-server 模組提供任意配置檔案。惡意使用者或攻擊者…