描述

Spring Boot 支持一个嵌入式启动脚本，可用于轻松地将应用程序作为 systemd 或 init.d Linux 服务运行[1]。Spring Boot 1.5.9 及更早版本中包含的脚本容易受到符号链接攻击，该攻击允许“run_user”覆盖并控制同一系统上的任何文件。

要发起攻击，应用程序必须作为服务安装，并且“run_user”需要对服务器的 shell 访问权限。

未作为服务安装或未使用嵌入式启动脚本的 Spring Boot 应用程序不受此漏洞影响。

[1] https://docs.springjava.cn/spring-boot/docs/1.5.x/reference/htmlsingle/#deployment-service

受影响的 Spring 产品和版本

• Spring Boot
  • 1.5.0 - 1.5.9
  • 2.0.0.M1 - 2.0.0.M7
• 较旧的、未维护的 Spring Boot 版本未进行分析，可能受到影响。

缓解措施

受影响版本的用户应采取以下缓解措施

• 1.5.x 用户应更新至 1.5.10
• 2.0.x 预发布用户应更新至 2.0.0.RC1

致谢

此问题由来自英国 Oracle Cloud Operations 的 Adam Stephens 发现并报告，并负责任地报告给了 Pivotal。

历史

2018-01-30：首次发布漏洞报告