领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2017-8028: Spring-LDAP 使用 userSearch 和 STARTTLS 进行身份验证,允许使用任意密码进行身份验证
描述
当连接到某些 LDAP 服务器时,在没有附加属性绑定,并使用 org.springframework.ldap.core.support.DefaultTlsDirContextAuthenticationStrategy 作为身份验证策略的 LDAP BindAuthenticator,并且设置了 userSearch 的情况下,当用户名正确时,可以使用任意密码进行身份验证。这是因为某些 LDAP 供应商需要一个显式的操作才能使 LDAP 绑定生效。
受影响的 Spring 产品和版本
- Spring-LDAP 版本 1.3.0 - 2.3.1
缓解措施
受影响版本的用户应采取以下缓解措施
- 升级到 Spring-LDAP 版本 2.3.2.RELEASE+
致谢
此漏洞由 Tobias Schneider 负责任地报告。
参考资料
- https://github.com/spring-projects/spring-ldap/pull/432
- https://github.com/spring-projects/spring-ldap/issues/430
历史
2017-10-16:发布初始漏洞报告
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略