Spring Framework 5月多个安全漏洞预警

漏洞安全公告

2018年5月9日，Pivotal发布了Spring Framework存在多个安全漏洞的公告：

（1）通过spring-messaging模块提供的基于WebSocket的STOMP代理存在拒绝服务漏洞（该模块还报过远程代码执行漏洞：CVE-2018-1270）

对应CVE编号：CVE-2018-1257

漏洞公告链接： https://pivotal.io/security/cve-2018-1257

（2）集成的Spring Security存在未授权用户突破访问限制的方法

对应CVE编号：CVE-2018-1258

漏洞公告链接：https://pivotal.io/security/cve-2018-1258

（3）Spring Data集成XMLBeam使用时，由于XML基础库XMLBeam不会限制XML外部实体引用扩展，而导致XXE漏洞

对应CVE编号：CVE-2018-1259

漏洞公告链接：https://pivotal.io/security/cve-2018-1259

（4）Spring Security OAuth组件存在远程代码执行的漏洞

对应CVE编号：CVE-2018-1260

漏洞公告链接：https://pivotal.io/security/cve-2018-1260

（5）spring-integration-zip存在任意文件写入漏洞

对应CVE编号：CVE-2018-1261

漏洞公告链接：https://pivotal.io/security/cve-2018-1261

官方历史安全公告列表，请参考：

https://pivotal.io/security/

https://spring.io/blog/2018/05/09/spring-project-vulnerability-reports-published

漏洞描述

CVE-2018-1257漏洞：Spring Framework的5.*版本、4.3.*版本以及不再支持的旧版本，通过spring-messaging和spring-websocket模块提供的基于WebSocket的STOMP，存在被攻击者建立WebSocket连接并发送恶意攻击代码的可能，从而实现拒绝服务，建议尽快更新到新的版本。

CVE-2018-1258漏洞：Spring Framework的5.*版本组合Spring Security (任意版本)，当两者集成使用时，未经授权的恶意用户可能会突破访问受限制的方法，从而绕过Spring Security安全机制，建议尽快更新到新的版本。

CVE-2018-1259漏洞：Spring Data Commons的1.13.*版本、2.0.*版本以及Spring Data REST 2.6.*版本、Spring Data REST 3.0.*版本，当两者集成使用时，由于XML基础库XMLBeam不会限制XML外部实体引用的不当限制，而导致XXE漏洞,从而导致恶意攻击者对Spring Data的特定请求参数，实现对目标系统任意文件的访问，建议尽快更新到新的版本。

CVE-2018-1260漏洞：Spring Security OAuth的2.3.*版本、2.2.*版本、2.1.*版本、2.0.*版本以及不再支持的旧版本，存远程代码执行漏洞，恶意攻击者可以向使用默认Approval Endpoint的授权服务器发送特定请求数据，实现远程代码执行效果，建议尽快更新到新的版本。

CVE-2018-1261漏洞：spring-integration-zip的1.0.1版本，存在任意文件写入漏洞，恶意攻击者通过构造特定的zip压缩文件（bzip2, tar, xz, war, cpio, 7z也同样可以），保存成路径遍历文件名，实现任意文件写入效果，建议尽快更新到新的版本。

漏洞影响范围

（1）CVE-2018-1257漏洞影响版本如下：

Spring Framework 5.*（5.0到5.0.5）版本，建议更新到5.0.6以上版本

Spring Framework 4.3.*（4.3到4.3.16）版本，建议更新到4.3.17以上版本

以及不再受支持的旧版本，建议更新到4.3.17以上版本或5.0.6以上版本

官方推荐更新到漏洞修复的版本（4.3.17版本或5.0.6版本），下载地址：

https://github.com/spring-projects/spring-framework/releases

（2）CVE-2018-1258漏洞影响版本如下：

Spring Framework 5.0.5版本 + Spring Security (任意版本)，建议更新到5.0.6以上版本

Spring Security建议更新到到5.0.5以上版本，4.2.*版本，建议更新到4.2.6以上版本

下载地址：

https://github.com/spring-projects/spring-security/releases

Spring Boot建议更新到2.0.2和1.5.13以上版本，下载地址：

https://github.com/spring-projects/spring-boot/releases

（3）CVE-2018-1259漏洞影响版本如下：

Spring Data Commons的1.13.*（1.13到1.13.11）版本，建议更新到1.13.12 (Ingalls SR12)以上版本

Spring Data Commons的2.0.*（2.6到2.6.11）版本，建议更新到2.0.7 (Kay SR7)以上版本

下载地址：

https://github.com/spring-projects/spring-data-commons/releases

Spring Data REST 2.6.*（2.0到2.0.6）版本，建议更新到2.6.12(Ingalls SR12)以上版本

Spring Data REST 3.0.*（3.0到3.0.6）版本，建议更新到3.0.7 (Kay SR7)以上

下载地址：

https://github.com/spring-projects/spring-data-rest/releases

（4）CVE-2018-1260漏洞影响版本如下：

Spring Security OAuth 2.3.*（2.3到2.3.2）版本，建议更新到2.3.3以上版本

Spring Security OAuth 2.2.*（2.2到2.2.1）版本，建议更新到2.2.2以上版本

Spring Security OAuth 2.1.*（2.1到2.1.1）版本，建议更新到2.1.2以上版本

Spring Security OAuth 2.0.*（2.0到2.0.14）版本，建议更新到2.0.15以上版本

以及不再受支持的旧版本，建议更新到2.0.15、2.1.2、2.2.2、2.3.3以上版本

下载地址：

https://github.com/spring-projects/spring-security-oauth/releases

（5）CVE-2018-1261漏洞影响版本如下：

Spring Integration Extensions 1.0.0版本，建议更新到1.0.1以上版本

下载地址：

https://github.com/spring-projects/spring-integration-extensions/releases

漏洞缓解措施

高危：预计攻击代码很快公开，建议尽快升级到无漏洞新版本。

威胁推演：此次漏洞包含有远程代码执行漏洞，基于全球使用该产品用户的数量，恶意攻击者可能会开发针对该漏洞的自动化攻击程序，实现漏洞利用成功后植入后门程序，并进一步释放矿工程序或是DDOS僵尸木马等恶意程序，从而影响到网站服务的正常提供。

安全开发生命周期（SDL）建议：Spring组件历史上已经报过多个安全漏洞，建议使用该产品的企业经常关注官方安全更新公告。