此頁面列出了 Spring 安全諮詢。
此 CVE 描述了利用與 CVE-2017-4971 中描述的相同漏洞的第二條路徑。
未更改 MvcViewFactoryCreator useSpringBinding 屬性值(預設停用,即設定為 “false”)的應用程式,可能容易受到檢視狀態中惡意 EL 表示式的攻擊,這些檢視狀態處理表單提交但沒有
受影響版本的使用者應採取以下緩解措施
請注意,通常情況下,建議始終在檢視狀態中使用顯式資料繫結宣告,以防止表單提交設定目標物件上不應設定的欄位,這是一種良好的實踐。
使用 JSF 的 Spring Web Flow 使用者不受此報告影響。
該問題由安全研究員 he1renyagao 發現。
當配置為啟用預設型別時,Jackson 包含一個可能導致任意程式碼執行的反序列化漏洞。Jackson 透過黑名單已知“反序列化小工具”修復了此漏洞。
Spring Security 使用全域性預設型別啟用配置 Jackson,這意味著透過之前的漏洞,如果以下所有條件都為真,則可以執行任意程式碼:
Jackson 提供了一種黑名單方法來防範此類攻擊,但當 Spring Security 啟用預設型別時,Spring Security 應該積極主動地阻止未知的“反序列化小工具”。
受影響版本的使用者應採取以下緩解措施
未更改 MvcViewFactoryCreator useSpringBinding 屬性值(預設停用,即設定為“false”)的應用程式,可能容易受到檢視狀態中惡意 EL 表示式的攻擊,這些檢視狀態處理表單提交但沒有
受影響版本的使用者應採取以下緩解措施
該問題由 Gotham Digital Science 的 Stefano Ciccone 發現
Spring Security 在處理安全約束時未考慮 URL 路徑引數。透過向請求新增帶有編碼“/”的 URL 路徑引數,攻擊者可能能夠繞過安全約束。此問題的根本原因是 Servlet 規範中關於路徑引數處理的缺乏明確性(見下文)。一些 Servlet 容器在 getPathInfo() 返回的值中包含路徑引數,而另一些則不包含。Spring Security 使用 getPathInfo() 返回的值作為將請求對映到安全約束過程的一部分。路徑引數的意外存在可能導致約束被繞過。
Apache Tomcat(所有當前版本)的使用者不受此漏洞影響,因為 Tomcat 遵循 Servlet 專家組先前提供的指導,並從 getContextPath()、getServletPath() 和 getPathInfo() [1] 返回的值中剝離路徑引數。
使用其他基於 Apache Tomcat 的 Servlet 容器的使用者可能會受到影響,具體取決於路徑引數的處理是否已修改。
IBM WebSphere Application Server 8.5.x 的使用者已知受影響。
使用其他實現 Servlet 規範的容器的使用者可能會受到影響。
[1] https://issues.apache.org/bugzilla/show_bug.cgi?id=25015
採用以下任一緩解措施將防止此漏洞。
該問題由 NTT DATA Corporation 的 Shumpei Asahara 和 Yuji Ito 發現,並負責任地報告給 Pivotal。
提供給 ResourceServlet 的路徑未正確清理,因此容易受到目錄遍歷攻擊。
受影響版本的使用者應採取以下緩解措施
請注意,很少有應用程式可能使用 ResourceServlet。自 3.0 版本(大約 2009 年)以來,它已被 ResourceHttpRequestHandler 和相關類普遍取代,這些類預設使用並提供更高階的功能,請參閱參考文件中的“提供資源”。ResourceServlet 在 3.2.x 和 4.x 中已被棄用,並從 5.x 版本開始完全移除。
該問題由 NTT DATA Corporation 的 Shumpei Asahara 和 Yuji Ito 發現,並負責任地報告給 Pivotal。
傳遞給使用手動宣告的 JPQL 查詢的使用者定義的 Spring Data 儲存庫查詢方法的 Sort 例項會按原樣傳遞給持久化提供程式,並允許攻擊者將任意 JPQL 注入到 ORDER BY 子句中,攻擊者可能利用這些子句根據查詢結果的元素順序因注入的 JPQL 而改變,從而推斷出未暴露的欄位資訊。
如果 Sort 例項來自不可信的來源,例如 Web 請求引數,則此問題尤為突出。
受影響版本的使用者應採取以下緩解措施
該漏洞由 Silverskin Information Security 的 Niklas Särökaari 以及 Joona Immonen、Arto Santala、Antti Virtanen、Michael Holopainen 和 Antti Ahola(均來自…)負責任地報告。
在使用白標檢視處理授權請求時,response_type 引數值被作為 Spring SpEL 執行,這使得惡意使用者可以透過精心構造 response_type 的值來觸發遠端程式碼執行。
受影響版本的使用者應採取以下緩解措施
此問題由 David Vieira-Kurz (@secalert) 發現,並由 Oliver Schoenherr 代表 Immobilien Scout GmbH 報告。
類 org.springframework.core.serializer.DefaultDeserializer 不會根據白名單驗證反序列化物件。透過提供一個精心構造的序列化物件,例如 Chris Frohoff 的 Commons Collection 小工具,可以實現遠端程式碼執行。
受影響版本的使用者應採取以下緩解措施
漏洞發現者:Code White 的 Matthias Kaiser (www.code-white.com)
當針對 OAuth 2 API 提供商授權應用程式時,Spring Social 容易受到跨站請求偽造 (CSRF) 攻擊。攻擊涉及惡意使用者使用虛假帳戶啟動 OAuth 2 授權流程,但透過誘騙受害者在其瀏覽器中訪問回撥請求來完成它。因此,攻擊者將透過虛假提供商帳戶訪問受害者在易受攻擊站點上的帳戶。
受影響的 Spring Social 版本的使用者應按如下方式升級
在上述版本中,Spring Social 要求回撥請求中存在一個 `state` 引數。如果未找到,則會丟擲 IllegalStateException,並且授權流程終止。
該問題最初由 Include Security 的 Kris Bosch 發現。然後,sourceclear (https://srcclr.com) 的 Paul Ambrosini 識別出根本原因、易受攻擊的庫和易受攻擊的程式碼。
要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略
