此頁面列出了 Spring 安全諮詢。
CVE-2022-31679: Spring Data REST 暴露的資源可能存在意外資料洩露
CVE-2022-22980: Spring Data MongoDB 透過註解儲存庫查詢方法存在的 SpEL 表示式注入漏洞
CVE-2022-22979: Spring Cloud Function Dos 漏洞
CVE-2022-22976: BCrypt 在工作因子為 31 時跳過鹽輪次
描述
Spring Security 版本 5.5.x(5.5.7 之前)、5.6.x(5.6.4 之前)以及更早的不受支援版本包含一個整數溢位漏洞。當使用 BCrypt 類並設定最大工作因子 (31) 時,編碼器不會執行任何鹽輪次,原因是整數溢位錯誤。
預設設定不受此 CVE 影響。
只有在將 BCryptPasswordEncoder 配置為最大工作因子的情形下才會受到影響。由於當前計算機硬體的限制,使用如此高的工作因子在計算上不切實際。
您需要使用工作因子為 31 的 BCrypt 才能受到影響。您可以使用以下緩解工具檢查您的密碼是否受到影響。
受影響的 Spring 產品和版本
- Spring Security
- 5.5.x 5.5.7 之前
- 5.6.x 5.6.4 之前
- 更早的不受支援版本
緩解措施
在更新到最新版本之前,請更新您的 BCryptPasswordEncoder 以使用較低的輪次。在撰寫本文時,OWASP 建議值為 10。
然後,使用上述緩解工具更新您的密碼雜湊。
更新密碼雜湊後,您應該按照以下方式更新您的版本:5.5.x 使用者應升級到 5.5.7,5.6.x 使用者應升級到 5.6.4,或者使用者應升級到 5.7.0。升級 Spring Security 依賴項後,您應該建議受影響的使用者更改密碼。
緩解措施常見問題解答也可在緩解工具中找到。
已修復此問題的釋出版本包括
- Spring Security
- 5.5.7
- 5.6.4
- 5.7.0
致謝
此問題由 Eyal Kaspi 發現並負責任地報告。
參考資料
CVE-2022-22978: RegexRequestMatcher 中的授權繞過
描述
在 Spring Security 版本 5.4.10、5.5.6 和 5.6.3 以及更早的不受支援版本中,RegexRequestMatcher 很容易因配置錯誤而在某些 servlet 容器上被繞過。
使用帶有正則表示式中“.”的 RegexRequestMatcher 的應用程式可能容易受到授權繞過攻擊。
受影響的 Spring 產品和版本
- Spring Security
- 5.4.x 5.4.11 之前
- 5.5.x 5.5.7 之前
- 5.6.x 5.6.4 之前
- 更早的不受支援版本
緩解措施
使用者應更新到包含修復的版本。5.5.x 使用者應升級到 5.5.7 或更高版本。5.6.x 使用者應升級到 5.6.4 或更高版本。已修復此問題的釋出版本包括
- Spring Security
- 5.4.11+
- 5.5.7+
- 5.6.4+
- …
CVE-2022-22970: Spring Framework 透過將資料繫結到 MultipartFile 或 Servlet Part 導致 DoS
CVE-2022-22971: Spring Framework 透過 STOMP over WebSocket 導致 DoS
CVE-2022-22969: spring-security-oauth2 中的拒絕服務 (DoS) 漏洞
CVE-2022-22968: Spring Framework 資料繫結規則漏洞
報告漏洞
要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略
