描述

在 Spring Framework 5.2.0 - 5.2.8、5.1.0 - 5.1.17、5.0.0 - 5.0.18、4.3.0 - 4.3.28 以及更旧的不受支持的版本中，针对 CVE-2015-5211 中的 RFD 攻击的保护可能会因所使用的浏览器而异，通过使用…

描述

Spring Cloud Netflix 2.2.x 版本（低于 2.2.4）、2.1.x 版本（低于 2.1.6）以及更旧的不受支持的版本允许应用程序使用 Hystrix Dashboard 的 proxy.stream 端点向托管服务器可访问的任何服务器发出请求…

描述

Spring Integration 框架提供 Kryo Codec 实现作为 Java（反）序列化的替代方案。当 Kryo 配置为默认选项时，所有未注册的类都会按需解析。这导致了“反序列化小工具”…

描述

当配置为启用默认类型时，Jackson 包含一个可能导致任意代码执行的反序列化漏洞。Jackson 通过黑名单已知“反序列化小工具”修复了此漏洞。

Spring Batch 配置 Jackson 时启用了全局默认类型，这意味着通过之前的漏洞，如果以下所有条件都为真，则可以执行任意代码：

• Spring Batch 的 Jackson 支持被用于序列化作业的 ExecutionContext。
• 恶意用户获得了 JobRepository 使用的数据存储（存储要反序列化的数据）的写入权限。

为了防止此类攻击，Jackson 阻止了一组不可信的小工具类被反序列化。Spring Batch 在启用默认类型时应主动阻止未知“反序列化小工具”。

受影响的 Spring 产品和版本

• Spring Batch
  • 4.0.0 到 4.0.4
  • 4.1.0 到 4.1.4
  • 4.2.0 到 4.2.2

缓解措施

受影响版本的用户应升级到 4.2.3 或更高版本。已修复此问题的版本包括：

• Spring Batch
  • 4.2.3

致谢

此问题由 Srikanth 发现并负责任地报告…

描述

Spring Cloud Config 2.2.x 版本（低于 2.2.3）、2.1.x 版本（低于 2.1.9）以及更旧的不受支持的版本允许应用程序通过 spring-cloud-config-server 模块提供任意配置文件。恶意用户或攻击者…

描述

Spring Security 5.2.x 版本（低于 5.2.4）和 5.3.x 版本（低于 5.3.2）在 SAML 响应验证期间包含一个签名包装漏洞。当使用 spring-security-saml2-service-provider 组件时，恶意用户可以小心地…

描述

Spring Security 5.3.x 版本（低于 5.3.2）、5.2.x 版本（低于 5.2.4）、5.1.x 版本（低于 5.1.10）、5.0.x 版本（低于 5.0.16）和 4.2.x 版本（低于 4.2.16）在可查询文本加密器的实现中使用了带有 CBC 模式的固定空初始化向量…

描述

Reactor Netty HttpServer 0.9.3 和 0.9.4 版本暴露于 URISyntaxException，这会导致连接过早关闭而不是产生 400 响应。

受影响的 Spring 产品和版本

• Reactor Netty
  • 0.9.3
  • 0.9.4

缓解措施

受影响版本的用户应升级到 0.9.5（reactor-bom Dysprosium SR-5）。无需其他步骤。

• Reactor Netty
  • 0.9.5

致谢

此问题是…

描述

Reactor Netty HttpClient 0.9.x 版本（低于 0.9.5）和 0.8.x 版本（低于 0.8.16）可能被错误使用，导致重定向到不同域时凭据泄漏。要发生这种情况，HttpClient 必须已…

描述

Spring Cloud Config 2.2.x 版本（低于 2.2.2）、2.1.x 版本（低于 2.1.7）以及更旧的不受支持的版本允许应用程序通过 spring-cloud-config-server 模块提供任意配置文件。恶意用户或攻击者…