描述

Java SockJS 客户端中的会话 ID 生成不够安全，可能允许用户向其他用户的会话发送消息。

请注意，这仅影响 Java SockJS 客户端用户，因为该客户端会生成自己的会话 ID。即使浏览器客户端连接到同一服务器，也不会受到影响。

此外，由于 SockJS 是一个传输层，当在其之上使用更高级别的消息传递协议（例如使用 spring-messaging 模块的 WebSocket 上的 STOMP）时，应用程序级别的安全性可能已经应用于 STOMP 消息，这可以中和任何潜在攻击的影响。

受影响的 Spring 产品和版本

• Spring Framework 4.1.0 至 4.1.4

缓解措施

受影响版本的用户应采取以下缓解措施

• 4.1.x 的用户应升级到 4.1.5 或更高版本

致谢

Philippe Arteau 发现此问题并负责任地报告给了 Pivotal。

参考资料

• https://github.com/spring-projects/spring-framework/commit/dc5b5ca8ee09c890352f89b2dae58bc0132d6545
• https://github.com/spring-projects/spring-framework/commit/d63cfc8eebc396be009e733a81ebb4c984811f6e

历史

2015-03-06：发布初始漏洞报告。