Spring Data Commons与spring-messaging模块远程代码执行

长 亭 漏 洞 预 警

Spring Data Commons

与spring-messaging模块远程代码执行

2018年4月10日,Spring框架官方发布了三个漏洞公告,分别是:

Spring Data Commons模块远程代码执行(CVE-2018-1273),危害等级严重,漏洞由安全公司GoSecure的Philippe Arteau报告

Spring Data Commons模块拒绝服务(CVE-2018-1274),危害等级严重,漏洞由Fortify Webinspect团队的Yevhenii Hrushka报告

spring-messaging模块远程代码执行未修复完全(CVE-2018-1275),危害等级严重,该漏洞是由前几日公布的漏洞CVE-2018-1270修复不完全引起,由三个研究人员独立报告

漏洞详情

Spring Data Commons模块远程代码执行(CVE-2018-1273)

Spring Data 是为基于Spring框架的应用提供底层数据访问支持的项目,Spring Data Commons是其中一个共用的基础设施模块。该模块对特殊属性未进行安全地处理,导致未授权的攻击者可以在请求资源时通过构造特殊的参数,在服务端实现远程代码执行。

Spring Data Commons模块拒绝服务(CVE-2018-1274)

这个漏洞同样存在于Spring Data Commons模块,该模块在解析较长的属性路径时未限制资源分配,导致未授权的攻击者可以通过消耗CPU和内存来实现拒绝服务攻击。

spring-messaging模块远程代码执行未修复完全(CVE-2018-1275)

我们先来回顾一下前几日的CVE-2018-1270漏洞。STOMP(Simple Text Orientated Messaging Protocol)全称为简单文本定向消息协议,它允许STOMP客户端与任意STOMP消息代理(Broker)进行交互。Spring框架中的spring-messaging模块提供了一种基于WebSocket的STOMP协议实现,STOMP消息代理在处理客户端消息时存在SpEL表达式注入漏洞,因此攻击者可以通过构造恶意的消息来实现远程代码执行。

此次这个新的漏洞编号是由于CVE-2018-1270在Spring框架4.3版本修复不完全引起的,研究人员发现针对之前的漏洞修复,攻击者依然可以实现类似的攻击。

影响范围

Spring Data Commons模块的2个漏洞:

Spring Data Commons 1.13 ~ 1.13.10 (Ingalls SR10)

Spring Data REST 2.6 ~ 2.6.10 (Ingalls SR10)

Spring Data Commons 2.0 ~ 2.0.5 (Kay SR5)

Spring Data REST 3.0 ~ 3.0.5 (Kay SR5)

已经停止支持的老版本也受影响

spring-messaging模块远程代码执行漏洞:

Spring框架5.0~5.0.4

Spring框架4.3~4.3.15

解决方案

请对Spring Data Commons模块做如下更新:

Spring Data Commons 2.0.x用户请升级到2.0.6

Spring Data Commons 1.13.x用户请升级到1.13.11

还在使用停止支持的老版本用户,请升级到当前官方提供支持的新版本

项目发布版中已经修复漏洞的版本如下:

Spring Data REST 2.6.11 (Ingalls SR11)

Spring Data REST 3.0.6 (Kay SR6)

Spring Boot 1.5.11

Spring Boot 2.0.1

要修复spring-messaging模块的漏洞,请对Spring框架版本做如下更新:

5.0.x升级到5.0.5

4.3.x升级到4.3.16

还在使用停止支持的老版本用户,请升级到当前官方提供支持的新版本

参考资料

https://pivotal.io/security/cve-2018-1273

https://pivotal.io/security/cve-2018-1274

https://pivotal.io/security/cve-2018-1275

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180411B0LX2P00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券