Spring Security 建議

RSS 源

此頁面列出了 Spring 安全諮詢。

CVE-2013-6429 Spring Framework 中 XML 外部實體 (XXE) 注入 (CVE-2013-7315) 的修復不完整

| 2014年1月14日 | CVE-2013-6429

描述

Spring MVC 的 SourceHttpMessageConverter 也處理使用者提供的 XML,但既沒有停用 XML 外部實體,也沒有提供停用它們的選項。SourceHttpMessageConverter 已被修改,以提供一個選項來控制 XML 外部實體的處理,並且該處理現在預設停用。隨後發現此修復也不完整 (CVE-2014-0054)。

受影響的 Spring 產品和版本

  • Spring MVC 3.0.0 到 3.2.4
  • Spring MVC 4.0.0.M1-4.0.0.RC1
  • 早期不受支援的版本可能受影響

緩解措施

受影響版本的使用者應採取以下緩解措施

  • 3.x 使用者應升級到 3.2.5 或更高版本
  • 4.x 使用者應升級到 4.0.0 或更高版本(此問題也已在 4.0.0-RC2 中修復,但建議使用者使用 4.0.0 或更高版本)
  • 為了完全緩解此問題(包括 CVE-2014-0054),3.x 使用者應升級到 3.2.8 或更高版本,4.x 使用者應升級到 4.0.2 或更高版本。

致謝

此問題由 Spring 開發團隊發現。

參考資料

歷史

2014年1月15日:初步漏洞報告。

  • 2014年6月19日:更新以反映 CVE-2013-4152 分割為 CVE-2013-4152 和 CVE-2013-7315。添加了關於額外漏洞報告的資訊,該報告指出此修復不完整。

CVE-2013-6430 在使用 Spring MVC 時可能存在 XSS

| 2014年1月14日 | CVE-2013-6430

描述

JavaScriptUtils.javaScriptEscape() 方法沒有轉義在 JS 單引號字串、JS 雙引號字串或 HTML 指令碼資料上下文中敏感的所有字元。在大多數情況下,這將導致無法利用的解析錯誤,但在某些情況下,它可能導致 XSS 漏洞。

受影響的 Spring 產品和版本

  • Spring MVC 3.0.0 到 3.2.1
  • 早期不受支援的版本可能受影響

緩解措施

受影響版本的使用者應採取以下緩解措施

  • 3.x 使用者應升級到 3.2.2 或更高版本

致謝

此問題最初由 Jon Passki 報告給 Spring Framework 開發人員,安全影響由 Arun Neelicattu 提請 Pivotal 安全團隊注意。

CVE-2013-4152 Spring Framework 中的 XML 外部實體 (XXE) 注入

| 2013年8月22日 | CVE-2013-4152

描述

Spring OXM 包裝器在使用 JAXB unmarshaller 時沒有公開任何屬性來停用實體解析。有四種可能的源實現傳遞給 unmarshaller:DOMSource、StAXSource、SAXSource 和 StreamSource。

對於 DOMSource,XML 已由使用者程式碼解析,該程式碼負責防範 XXE。

對於 StAXSource,XMLStreamReader 已由使用者程式碼建立,該程式碼負責防範 XXE。

對於 SAXSource 和 StreamSource 例項,Spring 預設處理外部實體,從而產生此漏洞。

透過預設停用外部實體處理並新增一個選項以允許需要在使用來自受信任源的 XML 時使用此功能的使用者啟用它,解決了此問題。

受影響的 Spring 產品和版本

  • 3.0.0 到 3.2.3
  • 4.0.0.M1
  • 早期不受支援的版本可能受影響

緩解措施

受影響版本的使用者應採取以下緩解措施

  • 3.x 使用者應升級到 3.2.4 或更高版本
  • 4.x 使用者應升級到 4.0.0.M2 或更高版本

致謝

這些問題由惠普企業安全團隊的 Alvaro Munoz 發現。

參考資料

歷史

2013年8月22日:初步…

CVE-2013-7315 Spring Framework 中的 XML 外部實體 (XXE) 注入

| 2013年8月22日 | CVE-2013-7315

描述

已發現 Spring MVC 在與 StAX XMLInputFactory 結合使用 JAXB 處理使用者提供的 XML 時沒有停用外部實體解析。在這種情況下已停用外部實體解析。隨後發現此修復不完整 (CVE-2013-6429, CVE-2014-0054)。

受影響的 Spring 產品和版本

  • 3.2.0 到 3.2.3
  • 4.0.0.M1-4.0.0.M2 (Spring MVC)
  • 早期不受支援的版本可能受影響

緩解措施

受影響版本的使用者應採取以下緩解措施

  • 3.x 使用者應升級到 3.2.4 或更高版本
  • 4.x 使用者應升級到 4.0.0.RC1 或更高版本
  • 為了完全緩解此問題(包括 CVE-2013-6429 和 CVE-2014-0054),3.x 使用者應升級到 3.2.8 或更高版本,4.x 使用者應升級到 4.0.2 或更高版本。

致謝

這些問題由惠普企業安全團隊的 Alvaro Munoz 發現。

參考資料

歷史

2013年8月22日:初步漏洞…

報告漏洞

要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略

領先一步

VMware 提供培訓和認證,助您加速進步。

瞭解更多

獲得支援

Tanzu Spring 提供 OpenJDK™、Spring 和 Apache Tomcat® 的支援和二進位制檔案,只需一份簡單的訂閱。

瞭解更多

即將舉行的活動

檢視 Spring 社群所有即將舉行的活動。

檢視所有