描述

spring-integration-zip 1.0.2 版本之前存在任意檔案寫入漏洞。該漏洞可利用特製的 zip 壓縮包（也影響其他壓縮包，如 bzip2、tar、xz、war、cpio、7z）實現，這些壓縮包包含目錄遍歷檔名。當檔名與目標解壓目錄拼接時，最終路徑會超出目標資料夾。之前的 CVE-2018-1261 阻止了框架本身寫入檔案。雖然框架本身現在不會寫入此類檔案，但它會向用戶應用程式提供錯誤路徑，使用者應用程式可能會不慎使用該路徑寫入檔案。

這專門適用於解壓轉換器。

這僅在應用程式使用此庫並接受和解壓來自不受信任來源的 zip 檔案時才會發生。

受影響的 Spring 產品和版本

• Spring Integration Zip 社群擴充套件專案 1.0.1.RELEASE 及更早版本。

緩解措施

受影響版本的使用者應採取以下緩解措施

• 升級到 1.0.2.RELEASE

或不解壓不受信任的 zip 檔案。

致謝

此問題由 Snyk 安全研究團隊和 Abago Forgans 識別並負責任地報告。

歷史

2018-05-11：初始漏洞報告發布

描述

Spring Framework 5.0.x 5.0.6 之前版本和 4.3.x 4.3.17 之前版本，以及不受支援的舊版本，允許應用程式透過 spring-messaging 模組使用簡單的記憶體 STOMP 代理暴露基於 WebSocket 的 STOMP 端點。惡意使用者（或攻擊者）可以向代理構造一條訊息，從而導致正則表示式拒絕服務攻擊。

此漏洞暴露了滿足以下所有要求的應用程式

• 依賴 spring-messaging 和 spring-websocket 模組。
• 註冊基於 WebSocket 的 STOMP 端點。
• 啟用簡單的 STOMP 代理。

受影響的 Spring 產品和版本

• Spring Framework 5.0 到 5.0.5
• Spring Framework 4.3 到 4.3.16
• 更舊的不受支援的版本也受到影響

緩解措施

受影響版本的使用者應採取以下緩解措施

• 5.0.x 使用者應升級到 5.0.6。
• 4.3.x 使用者應升級到 4.3.17。
• 舊版本應升級到受支援的分支。

無需其他緩解步驟。

請注意，使用 Spring Security 提供的訊息認證和授權功能，可將此漏洞的暴露限制在授權使用者範圍內。

致謝

此問題由 Recruit Technologies Co., Ltd. 的 Muneaki Nishimura (nishimunea) 識別並負責任地報告。

參考資料

• 啟用簡單代理的 基於 WebSocket 的 STOMP 配置示例。
• Spring…

描述

Spring Security 結合 Spring Framework 5.0.5.RELEASE 在使用方法安全時包含授權繞過漏洞。未經授權的惡意使用者可以未經授權地訪問應受限制的方法。

受影響的 Spring 產品和版本

• Spring Framework 5.0.5.RELEASE 和 Spring Security（任何版本）
• 僅當應用程式使用 Spring Framework 5.0.5.RELEASE 和 Spring Security 方法安全時才會受到影響。該錯誤存在於 Spring Framework 5.0.5.RELEASE 中，但除非與 Spring Security 的方法安全支援結合使用，否則不被視為 CVE。
• 該錯誤僅存在於 Spring Framework 5.0.5.RELEASE 中。如果應用程式不使用 Spring Framework 5.0.5.RELEASE，則不受影響。該錯誤不影響任何 Spring Framework 4.x 版本或 Spring Framework 的任何其他版本。

緩解措施

• 使用 Spring Framework 5.x 的使用者應避免使用 Spring Framework 5.0.5.RELEASE。更新到 Spring Security 5.0.5.RELEASE+ 或 Spring Boot 2.0.2.RELEASE+ 會間接引入 Spring Framework 5.0.6.RELEASE+。但是，使用者應確保其他依賴管理機制也已更新以使用 Spring Framework 5.0.6.RELEASE 或更高版本。
• 使用 Spring Framework 4.x（Spring Security 4.x 或 Spring Boot 1.x）的使用者不受影響，因此無需採取任何措施。
• 無需其他緩解措施。

致謝

此問題由 Spring Security 團隊內部識別。

歷史

2018-05-09：初始漏洞報告發布

• 2018-07-30：受影響版本的澄清

描述

Spring Data Commons 1.13 到 1.13.11 版本以及 2.0 到 2.0.6 版本（與 XMLBeam 1.4.14 或更早版本結合使用）包含一個屬性繫結漏洞，該漏洞是由於不正確地限制 XML 外部實體引用而引起的，因為底層庫 XMLBeam 不限制外部引用擴充套件。未經身份驗證的遠端惡意使用者可以針對 Spring Data 基於投影的請求負載繫結提供特製請求引數，從而訪問系統上的任意檔案。

受影響的 Spring 產品和版本

• Spring Data Commons 1.13 到 1.13.11 (Ingalls SR11)
• Spring Data REST 2.6 到 2.6.11 (Ingalls SR11)
• Spring Data Commons 2.0 到 2.0.6 (Kay SR6)
• Spring Data REST 3.0 到 3.0.6 (Kay SR6)

緩解措施

受影響版本的使用者應採取以下緩解措施

• 1.13.x 使用者應升級到 1.13.12 (Ingalls SR12)
• 2.0.x 使用者應升級到 2.0.7 (Kay SR7)
• 或者，升級到 XMLBeam 1.4.15

已修復此問題的釋出版本包括

• Spring Data REST 2.6.12 (Ingalls SR12)
• Spring Data REST 3.0.7 (Kay SR7)

無需其他緩解步驟。

請注意，該漏洞僅在使用 XMLBeam 時可利用。對端點使用身份驗證和授權（兩者均由 Spring Security 提供）將此漏洞的暴露限制在授權使用者。

致謝

此問題由 Abago Forgans 識別並負責任地報告。

參考資料

• https://jira.spring.io/browse/DATACMNS-1292
• Spring Data Commons: Web 資料繫結支援
…

描述

spring-integration-zip 1.0.1 版本之前存在任意檔案寫入漏洞。該漏洞可利用特製的 zip 壓縮包（也影響其他壓縮包，如 bzip2、tar、xz、war、cpio、7z）實現，這些壓縮包包含目錄遍歷檔名。當檔名與目標解壓目錄拼接時，最終路徑會超出目標資料夾。

這專門適用於解壓轉換器。

這僅在應用程式使用此庫並接受和解壓來自不受信任來源的 zip 檔案時才會發生。

受影響的 Spring 產品和版本

• Spring Integration Zip 社群擴充套件專案 1.0.0.RELEASE 版本

緩解措施

受影響版本的使用者應採取以下緩解措施

• 升級到 1.0.1.RELEASE

或不解壓不受信任的 zip 檔案。

致謝

此問題由 Snyk 安全研究團隊識別並負責任地報告。

歷史

2018-05-09：初始漏洞報告發布

描述

Spring Security OAuth 2.3 2.3.3 之前版本、2.2 2.2.2 之前版本、2.1 2.1.2 之前版本和 2.0 2.0.15 之前版本以及不受支援的舊版本包含遠端程式碼執行漏洞。惡意使用者或攻擊者可以向授權端點構造一個授權請求，當資源所有者被轉發到批准端點時，可能導致遠端程式碼執行。

此漏洞暴露了滿足以下所有要求的應用程式

• 充當授權伺服器角色（例如 @EnableAuthorizationServer）
• 使用預設的批准端點

此漏洞不會暴露以下應用程式：

• 充當授權伺服器角色但覆蓋預設批准端點
• 僅充當資源伺服器角色（例如 @EnableResourceServer）
• 僅充當客戶端角色（例如 @EnableOAuthClient）

受影響的 Spring 產品和版本

• Spring Security OAuth 2.3 到 2.3.2
• Spring Security OAuth 2.2 到 2.2.1
• Spring Security OAuth 2.1 到 2.1.1
• Spring Security OAuth 2.0 到 2.0.14
• 更舊的不受支援的版本也受到影響

緩解措施

受影響版本的使用者應採取以下緩解措施

• 2.3.x 使用者應升級到 2.3.3
• 2.2.x 使用者應升級到 2.2.2
• 2.1.x 使用者應升級到 2.1.2
• 2.0.x 使用者應升級到 2.0.15
• 舊版本應升級到受支援的分支

無需其他緩解措施。

致謝

此問題由 GoSecure 的 Philippe Arteau 發現並負責任地報告。

參考資料

• Spring Security OAuth 文件，參見“授權伺服器配置”部分
• @EnableAuthorizationServer 的配置示例…

描述

Spring Cloud SSO Connector 2.1.2 版本包含一個迴歸，該回歸會停用未繫結到 SSO 服務的資源伺服器中的頒發者驗證。在具有多個 SSO 服務計劃的 PCF 部署中，遠端攻擊者可以使用從另一個服務計劃生成的令牌對使用此版本 SSO Connector 的未繫結資源伺服器進行身份驗證。

受影響的 Spring 產品和版本

• Spring Cloud SSO Connector 2.1.2 版本

緩解措施

受影響版本的使用者應採取以下緩解措施

• 已修復此問題的版本包括：
  • Spring Cloud SSO Connector: 2.1.3
• 或者，您可以執行以下任一變通方法：
  • 透過服務例項繫結將您的資源伺服器繫結到 SSO 服務計劃
  • 在您的 Spring 應用程式屬性中設定“sso.connector.cloud.available=true”

致謝

此漏洞由 Pivotal SSO 服務團隊負責任地報告。

歷史

2018-04-30：初始漏洞報告發布

描述

Spring Data Commons 1.13 到 1.13.10 版本、2.0 到 2.0.5 版本以及不受支援的舊版本包含一個屬性繫結漏洞，該漏洞是由於不正確地中和特殊元素而引起的。未經身份驗證的遠端惡意使用者（或攻擊者）可以針對 Spring Data REST 支援的 HTTP 資源或使用 Spring Data 基於投影的請求負載繫結提供特製請求引數，從而導致遠端程式碼執行攻擊。

受影響的 Spring 產品和版本

• Spring Data Commons 1.13 到 1.13.10 (Ingalls SR10)
• Spring Data REST 2.6 到 2.6.10 (Ingalls SR10)
• Spring Data Commons 2.0 到 2.0.5 (Kay SR5)
• Spring Data REST 3.0 到 3.0.5 (Kay SR5)
• 更舊的不受支援的版本也受到影響

緩解措施

受影響版本的使用者應採取以下緩解措施

• 2.0.x 使用者應升級到 2.0.6
• 1.13.x 使用者應升級到 1.13.11
• 舊版本應升級到受支援的分支

已修復此問題的釋出版本包括

• Spring Data REST 2.6.11 (Ingalls SR11)
• Spring Data REST 3.0.6 (Kay SR6)

無需其他緩解步驟。

請注意，對端點使用身份驗證和授權（兩者均由 Spring Security 提供）將此漏洞的暴露限制在授權使用者。

致謝

此問題由 GoSecure Inc. 的 Philippe Arteau 識別並負責任地報告。

參考資料

• https://jira.spring.io/browse/DATACMNS-1282
• https://github.com/spring-projects/spring-data-commons/commit/b1a20ae1e82a63f99b3afc6f2aaedb3bf4dc432a
• https://github.com/spring-projects/spring-data-commons/commit/ae1dd2741ce06d44a0966ecbd6f47beabde2b653
• …

描述

Spring Data Commons 1.13 到 1.13.10 版本、2.0 到 2.0.5 版本以及不受支援的舊版本包含一個屬性路徑解析器漏洞，該漏洞是由於無限資源分配而引起的。未經身份驗證的遠端惡意使用者（或攻擊者）可以對 Spring Data REST 端點或使用屬性路徑解析的端點發出請求，從而導致拒絕服務（CPU 和記憶體消耗）。

受影響的 Spring 產品和版本

• Spring Data Commons 1.13 到 1.13.10 (Ingalls SR10)
• Spring Data REST 2.6 到 2.6.10 (Ingalls SR10)
• Spring Data Commons 2.0 到 2.0.5 (Kay SR5)
• Spring Data REST 3.0 到 3.0.5 (Kay SR5)
• 更舊的不受支援的版本也受到影響

緩解措施

受影響版本的使用者應採取以下緩解措施

• 2.0.x 使用者應升級到 2.0.6
• 1.13.x 使用者應升級到 1.13.11
• 舊版本應升級到受支援的分支

已修復此問題的釋出版本包括

• Spring Data REST 2.6.11 (Ingalls SR11)
• Spring Data REST 3.0.6 (Kay SR6)

無需其他緩解步驟。

請注意，對端點使用身份驗證和授權（兩者均由 Spring Security 提供）將此漏洞的暴露限制在授權使用者。

致謝

此問題由 Fortify Webinspect 的 Yevhenii Hrushka (Yevgeniy Grushka) 識別並負責任地報告。

參考資料

• https://jira.spring.io/browse/DATACMNS-1285
• https://github.com/spring-projects/spring-data-commons/commit/371f6590c509c72f8e600f3d05e110941607fbad
• https://github.com/spring-projects/spring-data-commons/commit/3d8576fe4e4e71c23b9e6796b32fd56e51182ee0
…

描述

此 CVE 解決了 Spring Framework 4.3.x 分支中 CVE-2018-1270 的部分修復。

Spring Framework 5.0.x 5.0.5 之前版本和 4.3.x 4.3.16 之前版本，以及不受支援的舊版本，允許應用程式透過 spring-messaging 模組使用簡單的記憶體 STOMP 代理暴露基於 WebSocket 的 STOMP 端點。惡意使用者（或攻擊者）可以向代理構造一條訊息，從而導致遠端程式碼執行攻擊。

受影響的 Spring 產品和版本

• Spring Framework 5.0 至 5.0.4
• Spring Framework 4.3 至 4.3.15
• 更舊的不受支援的版本也受到影響

緩解措施

受影響版本的使用者應採取以下緩解措施

• 5.0.x 使用者應升級到 5.0.5
• 4.3.x 使用者應升級到 4.3.16
• 舊版本應升級到受支援的分支

無需其他緩解步驟。

請注意，使用 Spring Security 提供的訊息認證和授權功能，可將此漏洞的暴露限制在授權使用者範圍內。

致謝

此原始問題 CVE-2018-1270 由 Micro Focus Fortify 的 Alvaro Muñoz (@pwntester) 識別並負責任地報告。隨後的 CVE-2018-1275 部分修復由…識別。