领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2024-38829: Spring LDAP Spring LDAP 对大小写敏感比较的敏感数据泄露
描述
使用 String.toLowerCase() 和 String.toUpperCase() 存在一些依赖于 Locale 的例外情况,这可能导致查询到意外的列
与 CVE-2024-38820 相关
受影响的 Spring 产品和版本
Spring LDAP
- 2.4.0 - 2.4.3
- 3.0.0 - 3.0.9
- 3.1.0 - 3.1.7
- 3.2.0 - 3.2.7
- 较旧的、不受支持的版本也受到影响
缓解措施
受影响版本的用户应升级到相应的修复版本。
| 受影响版本 | 修复版本 | 可用性 |
|---|---|---|
| 2.4.x | 2.4.4 | OSS |
| 3.0.x | 3.0.10 | 商业 |
| 3.1.x | 3.1.8 | 商业 |
| 3.2.x | 3.2.8 | OSS |
无需其他缓解措施。
参考资料
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略