Spring Security 建议

RSS 源

CVE-2017-8045:spring-amqp 中的远程代码执行

| 2017 年 9 月 19 日 | CVE-2017-8045

描述

在受影响的 Spring AMQP 版本中,当 org.springframework.amqp.core.Message 被转换为字符串时,可能会被不安全地反序列化。恶意攻击者可以构造特制的载荷来利用此漏洞,从而实现远程代码执行攻击。

受影响的 Spring 产品和版本

  • 1.7.4、1.6.11 和 1.5.7 之前的 Spring AMQP 版本

缓解措施

受影响版本的用户应采取以下缓解措施

  • 已修复此问题的发布版本包括
    • Spring AMQP:2.0.0、1.7.4、1.6.11、1.5.7

致谢

此漏洞由 Semmle 和 lgtm.com 的 Man Yue Mo 负责任地报告。

参考资料

历史

2017-09-19:首次披露漏洞报告

报告漏洞

要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略

领先一步

VMware 提供培训和认证,助您加速进步。

了解更多

获得支持

Tanzu Spring 提供 OpenJDK™、Spring 和 Apache Tomcat® 的支持和二进制文件,只需一份简单的订阅。

了解更多

即将举行的活动

查看 Spring 社区所有即将举行的活动。

查看所有