Spring Data多个安全漏洞预警

安全漏洞公告

2018年4月10日,Pivotal发布了Spring Data存在多个安全漏洞的公告:

(1)Spring Data Commons核心模块远程代码执行漏洞

对应CVE编号:CVE-2018-1273

漏洞公告链接:https://pivotal.io/security/cve-2018-1273

(2)Spring Data拒绝服务漏洞

对应CVE编号:CVE-2018-1274

漏洞公告链接:https://pivotal.io/security/cve-2018-1274

(3)CVE-2018-1270修复不完整的Spring Framework分支版本存在远程代码执行漏洞

对应CVE编号:CVE-2018-1275

漏洞公告链接:https://pivotal.io/security/cve-2018-1275

官方历史安全公告列表,请参考:

https://pivotal.io/security/

漏洞描述

CVE-2018-1273漏洞:Spring Data Commons模块的1.13.x版本、2.0.x版本以及不再支持的旧版本,在MapDataBinder中使用支持SpEL表达式的StandardEvaluationContext进行数据绑定,可能导致远程命令执行漏洞,成功利用该漏洞,攻击者可以对部署有Spring Data REST模块的Web服务器,提交特殊构造的HTTP请求实现Java代码执行,比如注入ProcessBuilder.start()、Runtime.exec()这些方法实现命令执行,建议尽快更新到新的版本。

CVE-2018-1274漏洞:Spring Data Commons模块的1.13.x版本、2.0.x版本以及不再支持的旧版本,由于PropertyPath类的解析深度限制不够,可能导致拒绝服务漏洞,成功利用该漏洞,攻击者可以对部署有Spring Data REST模块的Web服务器,提交特殊构造的HTTP请求实现服务器CPU和内存资源耗用,从而实现业务拒绝服务效果,建议尽快更新到新的版本。

CVE-2018-1275漏洞:Spring Framework的5.*版本、4.3.*版本以及不再支持的旧版本,通过spring-messaging和spring-websocket模块提供的基于WebSocket的STOMP,存在被攻击者建立WebSocket连接并发送恶意攻击代码的可能,从而实现远程代码执行攻击,Pivotal在4月5日发布了安全公告(cve-2018-1270),但4.3.*版本修补不完整,依然存在漏洞,因此建议尽快更新到新的版本。

漏洞影响范围

Spring Data Commons核心模块远程代码执行漏洞(cve-2018-1273),拒绝服务漏洞(cve-2018-1274)影响版本如下:

(1)Spring Data Commons 1.13 到 1.13.10 (Ingalls SR10)版本,建议更新到1.13.11以上版本

(2)Spring Data Commons 2.0 到 2.0.5 (Kay SR5)版本,建议更新到2.0.6以上版本

(3)其他不再受支持的旧版本都可能受影响,建议更新到最新版本

下载地址:

https://github.com/spring-projects/spring-data-commons/releases

参考官网:

http://projects.spring.io/spring-data/

(1)Spring Data REST 2.6 到 2.6.10 (Ingalls SR10)版本,建议更新到2.6.11 (Ingalls SR11)以上版本

(2)Spring Data REST 3.0 到 3.0.5 (Kay SR5)版本,建议更新到3.0.6 (Kay SR6)以上版本

(3)其他不再受支持的旧版本都可能受影响,建议更新到最新版本

下载地址:

https://github.com/spring-projects/spring-data-rest/releases

参考官网:

https://projects.spring.io/spring-data-rest/

(1)Spring Boot建议更新到1.5.11、2.0.1以上版本

下载地址:

https://github.com/spring-projects/spring-boot/releases

参考官网:

https://projects.spring.io/spring-boot/

Spring Framework分支版本远程代码执行漏洞(cve-2018-1275)影响版本如下:

(1)Spring Framework 5.0 到 5.0.4版本,建议更新到5.0.5以上版本

(2)Spring Framework 4.3 到 4.3.15版本,建议更新到4.3.16以上版本

(3)其他不再受支持的旧版本都可能受影响,建议更新到最新版本

下载地址:

https://github.com/spring-projects/spring-framework/releases

参考官网:

https://projects.spring.io/spring-framework/

4. 漏洞缓解措施

威胁等级

高危:预计攻击代码很快公开(针对cve-2018-1275的代码已经公开),建议尽快升级到无漏洞新版本。

威胁推演

此次漏洞包含有远程代码执行漏洞,基于全球使用该产品用户的数量,恶意攻击者可能会开发针对该漏洞的自动化攻击程序,实现漏洞利用成功后植入后门程序,并进一步释放矿工程序或是DDOS僵尸木马等恶意程序,从而影响到网站服务的正常提供。

安全开发生命周期(SDL)建议:Spring组件历史上已经报过多个安全漏洞,建议使用该产品的企业经常关注官方安全更新公告,建议使用Spring Security对功能模块的调用实现中启用身份验证和访问授权。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2018-04-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏IT技术精选文摘

JMeter最多可以模拟多少测试用户数?

本文我们将讨论一个确切说没有准确答案的问题 - 即我们使用Apache JMeter™最多可以模拟多少用户来做测试? 像JMeter本身的限制一样,这样的限制因...

87870
来自专栏bboysoul

ubuntu安装Metasploit Framework(最简单)

这个其实我以前说过ubuntu安装metasploit,就是在github上clone下来安装,但是那种方式安装的话会碰到很多依赖的问题,不方便安装,下面我推荐...

2.1K40
来自专栏IMWeb前端团队

VS Code进阶

虽然关于VS Code的介绍文章已经不少了,但面对如此用心的IDE,还是忍不住要再“赞美”一番,希望可以拉更多开发小伙伴入坑,如果能真正提高大家的开发体验当然是...

47590
来自专栏搜云库

基于 Spring Cloud 完整的微服务架构实战

基于 Spring Cloud 完整的微服务架构实战 本项目是一个基于 Spring Boot、Spring Cloud、Spring Oauth2 和 Spr...

83880
来自专栏实用工具入门教程

如何部署 Jenkins 服务

Jenkins是一个开源自动化服务器,可以自动执行持续集成和交付软件所涉及的重复技术任务。Jenkins是基于Java的,可以从Ubuntu软件包安装,也可以通...

34150
来自专栏Ryan Miao

SpringCloud学习1-服务注册与发现(Eureka)

前言 Oracle转让Java,各种动态语言的曝光率上升,Java工程师的未来在哪里?我觉得Spring Cloud让未来有无限可能。拖了半年之久的Spring...

1.4K70
来自专栏张善友的专栏

修改 Windows Host 文件工具

Hosts文件是一个用于储存计算机网络中各节点信息的计算机文件。这个文件负责将主机名映射到相应的IP地址。hosts文件通常用于补充或取代网络中DNS的功能。和...

54090
来自专栏友弟技术工作室

(效率人生)MAC必备工具Alfred入门使用前言如何获取Alfred如何打开AlfredGeneral(通用界面)Features(特性界面)Advanced(高级设置)

1. General:通用; 2. Features:特性; 3. Workflows:工作流; 4. Appearance:外观; 5...

24410
来自专栏Ryan Miao

SpringCloud2.0入门4-springboot-admin监控

上一节为springboot项目添加springboot-admin监控 学习了基于springboot1.5自己注册到admin的方法。接下来学习结合Eure...

46920
来自专栏phodal

【工具推荐】价值百百万的后台微服务生成工具

上周参加公司的一个微服务 WorkShop,期间使用到了这么一个强大的工具。 在 Workshop 里,我们所要做的就是做一个类似于下图的应用,由多个服务 + ...

20750

扫码关注云+社区

领取腾讯云代金券