描述

Spring Security 4.2.x（4.2.12之前）、5.0.x（5.0.12之前）和5.1.x（5.1.5之前）版本在通过SecureRandomFactoryBean#setSeed配置SecureRandom实例时存在不安全的随机性漏洞。要受到此漏洞影响，一个诚实的应用程序必须提供一个种子，并将由此产生的随机数据暴露给攻击者进行检查。

受影响的 Spring 产品和版本

• Spring Security 4.2 至 4.2.11
• Spring Security 5.0 至 5.0.11
• Spring Security 5.1 至 5.1.4

缓解措施

受影响版本的用户应采取以下缓解措施

• 4.2.x用户应升级到4.2.12
• 5.0.x用户应升级到5.0.12
• 5.1.x用户应升级到5.1.5

致谢

此问题由Thijs Alkemade发现并负责任地报告。

历史

2019-04-02：首次发布漏洞报告。