Spring Framework 5月多个安全漏洞预警

2018-07-24 17:28:57 浏览数 (1)

漏洞安全公告

2018年5月9日,Pivotal发布了Spring Framework存在多个安全漏洞的公告:

(1)通过spring-messaging模块提供的基于WebSocket的STOMP代理存在拒绝服务漏洞(该模块还报过远程代码执行漏洞:CVE-2018-1270)

对应CVE编号:CVE-2018-1257

漏洞公告链接: https://pivotal.io/security/cve-2018-1257

(2)集成的Spring Security存在未授权用户突破访问限制的方法

对应CVE编号:CVE-2018-1258

漏洞公告链接:https://pivotal.io/security/cve-2018-1258

(3)Spring Data集成XMLBeam使用时,由于XML基础库XMLBeam不会限制XML外部实体引用扩展,而导致XXE漏洞

对应CVE编号:CVE-2018-1259

漏洞公告链接:https://pivotal.io/security/cve-2018-1259

(4)Spring Security OAuth组件存在远程代码执行的漏洞

对应CVE编号:CVE-2018-1260

漏洞公告链接:https://pivotal.io/security/cve-2018-1260

(5)spring-integration-zip存在任意文件写入漏洞

对应CVE编号:CVE-2018-1261

漏洞公告链接:https://pivotal.io/security/cve-2018-1261

官方历史安全公告列表,请参考:

https://pivotal.io/security/

https://spring.io/blog/2018/05/09/spring-project-vulnerability-reports-published

漏洞描述

CVE-2018-1257漏洞:Spring Framework的5.*版本、4.3.*版本以及不再支持的旧版本,通过spring-messaging和spring-websocket模块提供的基于WebSocket的STOMP,存在被攻击者建立WebSocket连接并发送恶意攻击代码的可能,从而实现拒绝服务,建议尽快更新到新的版本。

CVE-2018-1258漏洞:Spring Framework的5.*版本组合Spring Security (任意版本),当两者集成使用时,未经授权的恶意用户可能会突破访问受限制的方法,从而绕过Spring Security安全机制,建议尽快更新到新的版本。

CVE-2018-1259漏洞:Spring Data Commons的1.13.*版本、2.0.*版本以及Spring Data REST 2.6.*版本、Spring Data REST 3.0.*版本,当两者集成使用时,由于XML基础库XMLBeam不会限制XML外部实体引用的不当限制,而导致XXE漏洞,从而导致恶意攻击者对Spring Data的特定请求参数,实现对目标系统任意文件的访问,建议尽快更新到新的版本。

CVE-2018-1260漏洞:Spring Security OAuth的2.3.*版本、2.2.*版本、2.1.*版本、2.0.*版本以及不再支持的旧版本,存远程代码执行漏洞,恶意攻击者可以向使用默认Approval Endpoint的授权服务器发送特定请求数据,实现远程代码执行效果,建议尽快更新到新的版本。

CVE-2018-1261漏洞:spring-integration-zip的1.0.1版本,存在任意文件写入漏洞,恶意攻击者通过构造特定的zip压缩文件(bzip2, tar, xz, war, cpio, 7z也同样可以),保存成路径遍历文件名,实现任意文件写入效果,建议尽快更新到新的版本。

漏洞影响范围

(1)CVE-2018-1257漏洞影响版本如下:

Spring Framework 5.*(5.0到5.0.5)版本,建议更新到5.0.6以上版本

Spring Framework 4.3.*(4.3到4.3.16)版本,建议更新到4.3.17以上版本

以及不再受支持的旧版本,建议更新到4.3.17以上版本或5.0.6以上版本

官方推荐更新到漏洞修复的版本(4.3.17版本或5.0.6版本),下载地址:

https://github.com/spring-projects/spring-framework/releases

(2)CVE-2018-1258漏洞影响版本如下:

Spring Framework 5.0.5版本 Spring Security (任意版本),建议更新到5.0.6以上版本

Spring Security建议更新到到5.0.5以上版本,4.2.*版本,建议更新到4.2.6以上版本

下载地址:

https://github.com/spring-projects/spring-security/releases

Spring Boot建议更新到2.0.2和1.5.13以上版本,下载地址:

https://github.com/spring-projects/spring-boot/releases

(3)CVE-2018-1259漏洞影响版本如下:

Spring Data Commons的1.13.*(1.13到1.13.11)版本,建议更新到1.13.12 (Ingalls SR12)以上版本

Spring Data Commons的2.0.*(2.6到2.6.11)版本,建议更新到2.0.7 (Kay SR7)以上版本

下载地址:

https://github.com/spring-projects/spring-data-commons/releases

Spring Data REST 2.6.*(2.0到2.0.6)版本,建议更新到2.6.12(Ingalls SR12)以上版本

Spring Data REST 3.0.*(3.0到3.0.6)版本,建议更新到3.0.7 (Kay SR7)以上

下载地址:

https://github.com/spring-projects/spring-data-rest/releases

(4)CVE-2018-1260漏洞影响版本如下:

Spring Security OAuth 2.3.*(2.3到2.3.2)版本,建议更新到2.3.3以上版本

Spring Security OAuth 2.2.*(2.2到2.2.1)版本,建议更新到2.2.2以上版本

Spring Security OAuth 2.1.*(2.1到2.1.1)版本,建议更新到2.1.2以上版本

Spring Security OAuth 2.0.*(2.0到2.0.14)版本,建议更新到2.0.15以上版本

以及不再受支持的旧版本,建议更新到2.0.15、2.1.2、2.2.2、2.3.3以上版本

下载地址:

https://github.com/spring-projects/spring-security-oauth/releases

(5)CVE-2018-1261漏洞影响版本如下:

Spring Integration Extensions 1.0.0版本,建议更新到1.0.1以上版本

下载地址:

https://github.com/spring-projects/spring-integration-extensions/releases

漏洞缓解措施

高危:预计攻击代码很快公开,建议尽快升级到无漏洞新版本。

威胁推演:此次漏洞包含有远程代码执行漏洞,基于全球使用该产品用户的数量,恶意攻击者可能会开发针对该漏洞的自动化攻击程序,实现漏洞利用成功后植入后门程序,并进一步释放矿工程序或是DDOS僵尸木马等恶意程序,从而影响到网站服务的正常提供。

安全开发生命周期(SDL)建议:Spring组件历史上已经报过多个安全漏洞,建议使用该产品的企业经常关注官方安全更新公告。

0 人点赞