Spring Framework多个安全漏洞预警

2018年4月5日，Pivotal发布了Spring Framework存在多个安全漏洞的公告：

（1）spring-messaging模块远程代码执行漏洞

对应CVE编号：CVE-2018-1270

漏洞公告链接：https://pivotal.io/security/cve-2018-1270

（2）运行于Windows系统的Spring MVC存在目录遍历漏洞

对应CVE编号：CVE-2018-1271

漏洞公告链接：https://pivotal.io/security/cve-2018-1271

（3）Spring MVC或Spring WebFlux服务器存在Multipart类型污染漏洞

对应CVE编号：CVE-2018-1272

漏洞公告链接：https://pivotal.io/security/cve-2018-1272

官方历史安全公告列表，请参考：

https://pivotal.io/security/

https://spring.io/blog/2018/04/05/multiple-cve-reports-published-for-the-spring-framework

漏洞描述

CVE-2018-1270漏洞：Spring Framework的5.*版本、4.3.*版本以及不再支持的旧版本，通过spring-messaging和spring-websocket模块提供的基于WebSocket的STOMP，存在被攻击者建立WebSocket连接并发送恶意攻击代码的可能，从而实现远程代码执行攻击，建议尽快更新到新的版本。

CVE-2018-1271漏洞：Spring Framework的5.*版本、4.3.*版本以及不再支持的旧版本，Spring MVC允许应用程序对其配置提供静态资源，在Windows系统上实现该功能时，攻击者通过请求构造的特定资源URL，可能导致目录遍历的效果产生，建议尽快更新到新的版本。

CVE-2018-1272漏洞：Spring Framework的5.*版本、4.3.*版本以及不再支持的旧版本，当Spring MVC或Spring WebFlux服务器接受把客户端请求再转向另一台服务器的场景下，攻击者通过构造和污染Multipart类型请求，可能对另一台服务器实现权限提升攻击，建议尽快更新到新的版本。

漏洞影响范围

Spring spring-messaging远程代码执行漏洞(CVE-2018-1270)、(CVE-2018-1271)、(CVE-2018-1272)等影响版本如下：

（1）Spring Framework 5.*（5.0到5.0.4）版本，建议更新到5.0.5版本

（2）Spring Framework 4.3.*（4.3到4.3.14）版本，建议更新到4.3.15版本

（3）以及不再受支持的旧版本，建议更新到4.3.15版本或5.0.5版本

官方推荐更新到漏洞修复的版本（4.3.15版本或5.0.5版本），下载地址：

https://github.com/spring-projects/spring-framework/releases

Spring Boot建议更新到2.0.1和1.5.11，下载地址：

https://github.com/spring-projects/spring-boot/releases

缓解措施

4.1 威胁等级

高危：预计攻击代码很快公开，建议尽快升级到无漏洞新版本。

4.2 威胁推演

此次漏洞包含有远程代码执行漏洞，基于全球使用该产品用户的数量，恶意攻击者可能会开发针对该漏洞的自动化攻击程序，实现漏洞利用成功后植入后门程序，并进一步释放矿工程序或是DDOS僵尸木马等恶意程序，从而影响到网站服务的正常提供。

安全开发生命周期（SDL）建议：Spring组件历史上已经报过多个安全漏洞，建议使用该产品的企业经常关注官方安全更新公告，建议使用Spring Security对功能模块的调用实现中启用身份验证和访问授权，请参考：

https://docs.spring.io/spring-security/site/docs/5.0.3.RELEASE/reference/htmlsingle/#websocket