领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2014-0054 CVE-2013-7315 / CVE-2013-6429 (XXE) 的不完整修复
描述
Spring MVC 的 Jaxb2RootElementHttpMessageConverter 还处理用户提供的 XML,既没有禁用 XML 外部实体,也没有提供禁用它们的选项。Jaxb2RootElementHttpMessageConverter 已进行了修改,提供了一个选项来控制 XML 外部实体的处理,并且该处理现在默认禁用。
受影响的 Spring 产品和版本
- Spring MVC 3.0.0 至 3.2.7
- Spring MVC 4.0.0 至 4.0.1
- 早期不受支持的版本可能受影响
缓解措施
受影响版本的用户应采取以下缓解措施
- 3.x 用户应升级到 3.2.8 或更高版本
- 4.x 用户应升级到 4.0.2 或更高版本
致谢
此问题由 Spase Markovski 向 Spring Framework 开发人员报告。
参考资料
- https://jira.springsource.org/browse/SPR-11376
- https://github.com/spring-projects/spring-framework/commit/edba32b3093703d5e9ed42b5b8ec23ecc1998398#diff-1f3f1d5cdab9ac92d1ca5ec7def8f131
- https://github.com/spring-projects/spring-framework/commit/fb0683c066e74e9667d6cd8c5fa01f674c68c3be#diff-1f3f1d5cdab9ac92d1ca5ec7def8f131
历史
2014-03-11:首次发布漏洞报告。
- 2014-06-19:更新以反映 CVE-2013-4152 分割为 CVE-2013-4152 和 CVE-2013-7315。
- 2014-08-19:更正受影响的版本,排除 Spring MVC 3.2.8 并包含对 3.2.x 提交的引用。
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略