Spring Security 建议

RSS 源

CVE-2014-0097 空密码可能绕过用户认证

| 2014 年 3 月 11 日 | CVE-2014-0097

描述

ActiveDirectoryLdapAuthenticator 未检查密码长度。如果目录允许匿名绑定,则可能错误地认证了提供空密码的用户。

受影响的 Spring 产品和版本

  • Spring Security 3.2.0 至 3.2.1
  • Spring Security 3.1.0 至 3.1.5

缓解措施

受影响版本的用户应采取以下缓解措施

  • 3.2.x 用户应升级至 3.2.2 或更高版本
  • 3.1.x 用户应升级至 3.1.6 或更高版本

致谢

此问题由 Spring 开发团队识别。

参考资料

历史

2014-Mar-11: 发布了初始漏洞报告

  • 2014-Mar-11: 修正了受影响版本,添加了 3.1.0 至 3.1.5
  • 2014-Jun-19: 为 3.1.x 用户添加了缓解措施

报告漏洞

要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略

领先一步

VMware 提供培训和认证,助您加速进步。

了解更多

获得支持

Tanzu Spring 提供 OpenJDK™、Spring 和 Apache Tomcat® 的支持和二进制文件,只需一份简单的订阅。

了解更多

即将举行的活动

查看 Spring 社区所有即将举行的活动。

查看所有