描述

Spring Cloud Netflix 2.2.4 之前的 2.2.x 版本、2.1.6 之前的 2.1.x 版本以及更早不受支援的版本允許應用程式使用 Hystrix Dashboard proxy.stream 端點向託管伺服器可訪問的任何伺服器發出請求…

描述

Spring Integration 框架提供 Kryo Codec 實現作為 Java (反)序列化的替代方案。當 Kryo 配置為預設選項時，所有未註冊的類都會按需解析。這導致“反序列化 Gadget”…

描述

當配置為啟用預設型別時，Jackson 包含一個可能導致任意程式碼執行的反序列化漏洞 。Jackson 透過將已知的“反序列化 Gadget”列入黑名單來修復此漏洞。

Spring Batch 將 Jackson 配置為啟用全域性預設型別 ，這意味著透過先前的漏洞利用，如果滿足以下所有條件，則可以執行任意程式碼

• Spring Batch 的 Jackson 支援被用於序列化作業的 ExecutionContext。
• 惡意使用者獲得了 JobRepository（儲存待反序列化資料的位置）使用的資料儲存的寫入訪問許可權。

為了防範此類攻擊，Jackson 會阻止反序列化一組不受信任的 Gadget 類。Spring Batch 在啟用預設型別時應主動阻止未知的“反序列化 Gadget”。

受影響的 Spring 產品和版本

• Spring Batch
  • 4.0.0 到 4.0.4
  • 4.1.0 到 4.1.4
  • 4.2.0 到 4.2.2

緩解措施

受影響版本的使用者應升級到 4.2.3 或更高版本。  已修復此問題的版本包括

• Spring Batch
  • 4.2.3

致謝

此問題由 Srikanth 發現並負責任地報告…

描述

Spring Cloud Config 2.2.3 之前的 2.2.x 版本、2.1.9 之前的 2.1.x 版本以及更早不受支援的版本允許應用程式透過 spring-cloud-config-server 模組提供任意配置檔案。惡意使用者或攻擊者…

描述

Spring Security 5.2.4 之前的 5.2.x 版本和 5.3.2 之前的 5.3.x 版本在 SAML 響應驗證期間包含一個簽名包裝漏洞。使用 spring-security-saml2-service-provider 元件時，惡意使用者可以精心…

描述

Spring Security 5.3.2 之前的 5.3.x 版本、 5.2.4 之前的 5.2.x 版本、 5.1.10 之前的 5.1.x 版本、5.0.16 之前的 5.0.x 版本和 4.2.16 之前的 4.2.x 版本在可查詢文字加密器的實現中使用帶 CBC 模式的固定 null 初始化向量…

描述

Reactor Netty HttpServer 0.9.3 和 0.9.4 版本存在 URISyntaxException，導致連線過早關閉，而不是生成 400 響應。

受影響的 Spring 產品和版本

• Reactor Netty
  • 0.9.3
  • 0.9.4

緩解措施

受影響版本的使用者應升級到 0.9.5 (reactor-bom Dysprosium SR-5)。 無需其他步驟。

• Reactor Netty
  • 0.9.5

致謝

此問題…

描述

Reactor Netty HttpClient 0.9.5 之前的 0.9.x 版本和 0.8.16 之前的 0.8.x 版本可能被錯誤使用，導致重定向到不同域時發生憑據洩露。要發生這種情況，HttpClient 必須…

描述

Spring Cloud Config 2.2.2 之前的 2.2.x 版本、2.1.7 之前的 2.1.x 版本以及更早不受支援的版本允許應用程式透過 spring-cloud-config-server 模組提供任意配置檔案。惡意使用者或攻擊者…

描述

Spring Framework 5.2.3 之前的 5.2.x 版本容易受到透過 CORS preflight 請求進行的 CSRF 攻擊，這些請求針對 Spring MVC (spring-webmvc 模組) 或 Spring WebFlux (spring-webflux 模組) 端點。

只有非認證端點…