Spring 框架及组件存在多个安全漏洞

关注圣博润了解更多!

Spring简介

Spring是一个开放源代码的设计层面框架,他解决的是业务逻辑层和其他各层的松耦合问题,因此它将面向接口的编程思想贯穿整个系统应用。Spring是于2003 年兴起的一个轻量级的Java 开发框架,由Rod Johnson创建。简单来说,Spring是一个分层的JavaSE/EE full-stack(一站式) 轻量级开源框架。

近日, Spring官方发布多个安全公告其中包括3个严重,2个高危漏洞,漏洞涉及Spring Messaging组件, Spring Security框架,Spring Data 框架等多个模块,攻击者可通过这些漏洞实施远程代码执行攻击、拒绝服务攻击及获取敏感信息等。

Spring Messaging组件中存在漏洞可导致正则表达式拒绝服务攻击(CVE-2018-1257)

1

漏洞概述

2

修复方案

升级Spring框架到5.0.6/4.3.17。

3

参考链接

https://pivotal.io/security/cve-2018-1257

Spring Security框架Method Security安全限制绕过漏洞(CVE-2018-1258)

1

漏洞概述

2

修复方案

升级Spring框架到5.0.6及以上。

升级Spring Boot到2.0.2及以上。

3

参考链接

https://pivotal.io/security/cve-2018-1258

Spring Data 框架使用XMLBean产生XXE漏洞(CVE-2018-1259)

1

漏洞概述

2

修复方案

1.13.x 升级到 1.13.12 (Ingalls SR12)

2.0.x 升级到 2.0.7 (Kay SR7)

或升级 XMLBeam 到 1.4.15

以下框架已经修复了该问题:

Spring Data REST 2.6.12 (Ingalls SR12)

Spring Data REST 3.0.7 (Kay SR7)。

3

参考链接

https://pivotal.io/security/cve-2018-1259

Spring-Security-OAuth2 远程代码执行漏洞(CVE-2018-1260)

1

漏洞概述

2

修复方案

2.3.x 的用户应该更新升级到2.3.3

2.2.x的用户应该更新升级到2.2.2

2.1.x的用户应该更新升级到2.1.2

2.0.x的用户应该更新升级到2.0.15

不再受支持的版本应升级至各自对应的安全版本。

3

参考链接

https://pivotal.io/security/cve-2018-1260

Spring-Integration-Zip 任意文件写入漏洞 Unsafe Unzip with spring-integration-zip(CVE-2018-1261)

1

漏洞概述

2

修复方案

升级至以下安全版本:

1.0.1.RELEASE

同时,应避免解压来历不明的zip文件。

3

参考链接

https://pivotal.io/security/cve-2018-1261

检索最新漏洞信息

提供漏洞预警、通告及响应服务

作为一家专业的网络安全服务供应商

圣博润特别注重对最新安全漏洞的发现和追踪

以“及时性、准确性、层次性”为宗旨

为用户提供漏洞预警、通告及响应服务

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180511G1NLMB00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券