描述

spring-integration-zip 1.0.2 版本之前存在任意文件写入漏洞。该漏洞可利用特制的 zip 压缩包（也影响其他压缩包，如 bzip2、tar、xz、war、cpio、7z）实现，这些压缩包包含目录遍历文件名。当文件名与目标解压目录拼接时，最终路径会超出目标文件夹。之前的 CVE-2018-1261 阻止了框架本身写入文件。虽然框架本身现在不会写入此类文件，但它会向用户应用程序提供错误路径，用户应用程序可能会不慎使用该路径写入文件。

这专门适用于解压转换器。

这仅在应用程序使用此库并接受和解压来自不受信任来源的 zip 文件时才会发生。

受影响的 Spring 产品和版本

• Spring Integration Zip 社区扩展项目 1.0.1.RELEASE 及更早版本。

缓解措施

受影响版本的用户应采取以下缓解措施

• 升级到 1.0.2.RELEASE

或不解压不受信任的 zip 文件。

致谢

此问题由 Snyk 安全研究团队和 Abago Forgans 识别并负责任地报告。

历史

2018-05-11：初始漏洞报告发布

描述

Spring Framework 5.0.x 5.0.6 之前版本和 4.3.x 4.3.17 之前版本，以及不受支持的旧版本，允许应用程序通过 spring-messaging 模块使用简单的内存 STOMP 代理暴露基于 WebSocket 的 STOMP 端点。恶意用户（或攻击者）可以向代理构造一条消息，从而导致正则表达式拒绝服务攻击。

此漏洞暴露了满足以下所有要求的应用程序

• 依赖 spring-messaging 和 spring-websocket 模块。
• 注册基于 WebSocket 的 STOMP 端点。
• 启用简单的 STOMP 代理。

受影响的 Spring 产品和版本

• Spring Framework 5.0 到 5.0.5
• Spring Framework 4.3 到 4.3.16
• 更旧的不受支持的版本也受到影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 5.0.x 用户应升级到 5.0.6。
• 4.3.x 用户应升级到 4.3.17。
• 旧版本应升级到受支持的分支。

无需其他缓解步骤。

请注意，使用 Spring Security 提供的消息认证和授权功能，可将此漏洞的暴露限制在授权用户范围内。

致谢

此问题由 Recruit Technologies Co., Ltd. 的 Muneaki Nishimura (nishimunea) 识别并负责任地报告。

参考资料

• 启用简单代理的 基于 WebSocket 的 STOMP 配置示例。
• Spring…

描述

Spring Security 结合 Spring Framework 5.0.5.RELEASE 在使用方法安全时包含授权绕过漏洞。未经授权的恶意用户可以未经授权地访问应受限制的方法。

受影响的 Spring 产品和版本

• Spring Framework 5.0.5.RELEASE 和 Spring Security（任何版本）
• 仅当应用程序使用 Spring Framework 5.0.5.RELEASE 和 Spring Security 方法安全时才会受到影响。该错误存在于 Spring Framework 5.0.5.RELEASE 中，但除非与 Spring Security 的方法安全支持结合使用，否则不被视为 CVE。
• 该错误仅存在于 Spring Framework 5.0.5.RELEASE 中。如果应用程序不使用 Spring Framework 5.0.5.RELEASE，则不受影响。该错误不影响任何 Spring Framework 4.x 版本或 Spring Framework 的任何其他版本。

缓解措施

• 使用 Spring Framework 5.x 的用户应避免使用 Spring Framework 5.0.5.RELEASE。更新到 Spring Security 5.0.5.RELEASE+ 或 Spring Boot 2.0.2.RELEASE+ 会间接引入 Spring Framework 5.0.6.RELEASE+。但是，用户应确保其他依赖管理机制也已更新以使用 Spring Framework 5.0.6.RELEASE 或更高版本。
• 使用 Spring Framework 4.x（Spring Security 4.x 或 Spring Boot 1.x）的用户不受影响，因此无需采取任何措施。
• 无需其他缓解措施。

致谢

此问题由 Spring Security 团队内部识别。

历史

2018-05-09：初始漏洞报告发布

• 2018-07-30：受影响版本的澄清

描述

Spring Data Commons 1.13 到 1.13.11 版本以及 2.0 到 2.0.6 版本（与 XMLBeam 1.4.14 或更早版本结合使用）包含一个属性绑定漏洞，该漏洞是由于不正确地限制 XML 外部实体引用而引起的，因为底层库 XMLBeam 不限制外部引用扩展。未经身份验证的远程恶意用户可以针对 Spring Data 基于投影的请求负载绑定提供特制请求参数，从而访问系统上的任意文件。

受影响的 Spring 产品和版本

• Spring Data Commons 1.13 到 1.13.11 (Ingalls SR11)
• Spring Data REST 2.6 到 2.6.11 (Ingalls SR11)
• Spring Data Commons 2.0 到 2.0.6 (Kay SR6)
• Spring Data REST 3.0 到 3.0.6 (Kay SR6)

缓解措施

受影响版本的用户应采取以下缓解措施

• 1.13.x 用户应升级到 1.13.12 (Ingalls SR12)
• 2.0.x 用户应升级到 2.0.7 (Kay SR7)
• 或者，升级到 XMLBeam 1.4.15

已修复此问题的发布版本包括

• Spring Data REST 2.6.12 (Ingalls SR12)
• Spring Data REST 3.0.7 (Kay SR7)

无需其他缓解步骤。

请注意，该漏洞仅在使用 XMLBeam 时可利用。对端点使用身份验证和授权（两者均由 Spring Security 提供）将此漏洞的暴露限制在授权用户。

致谢

此问题由 Abago Forgans 识别并负责任地报告。

参考资料

• https://jira.spring.io/browse/DATACMNS-1292
• Spring Data Commons: Web 数据绑定支持
…

描述

spring-integration-zip 1.0.1 版本之前存在任意文件写入漏洞。该漏洞可利用特制的 zip 压缩包（也影响其他压缩包，如 bzip2、tar、xz、war、cpio、7z）实现，这些压缩包包含目录遍历文件名。当文件名与目标解压目录拼接时，最终路径会超出目标文件夹。

这专门适用于解压转换器。

这仅在应用程序使用此库并接受和解压来自不受信任来源的 zip 文件时才会发生。

受影响的 Spring 产品和版本

• Spring Integration Zip 社区扩展项目 1.0.0.RELEASE 版本

缓解措施

受影响版本的用户应采取以下缓解措施

• 升级到 1.0.1.RELEASE

或不解压不受信任的 zip 文件。

致谢

此问题由 Snyk 安全研究团队识别并负责任地报告。

历史

2018-05-09：初始漏洞报告发布

描述

Spring Security OAuth 2.3 2.3.3 之前版本、2.2 2.2.2 之前版本、2.1 2.1.2 之前版本和 2.0 2.0.15 之前版本以及不受支持的旧版本包含远程代码执行漏洞。恶意用户或攻击者可以向授权端点构造一个授权请求，当资源所有者被转发到批准端点时，可能导致远程代码执行。

此漏洞暴露了满足以下所有要求的应用程序

• 充当授权服务器角色（例如 @EnableAuthorizationServer）
• 使用默认的批准端点

此漏洞不会暴露以下应用程序：

• 充当授权服务器角色但覆盖默认批准端点
• 仅充当资源服务器角色（例如 @EnableResourceServer）
• 仅充当客户端角色（例如 @EnableOAuthClient）

受影响的 Spring 产品和版本

• Spring Security OAuth 2.3 到 2.3.2
• Spring Security OAuth 2.2 到 2.2.1
• Spring Security OAuth 2.1 到 2.1.1
• Spring Security OAuth 2.0 到 2.0.14
• 更旧的不受支持的版本也受到影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 2.3.x 用户应升级到 2.3.3
• 2.2.x 用户应升级到 2.2.2
• 2.1.x 用户应升级到 2.1.2
• 2.0.x 用户应升级到 2.0.15
• 旧版本应升级到受支持的分支

无需其他缓解措施。

致谢

此问题由 GoSecure 的 Philippe Arteau 发现并负责任地报告。

参考资料

• Spring Security OAuth 文档，参见“授权服务器配置”部分
• @EnableAuthorizationServer 的配置示例…

描述

Spring Cloud SSO Connector 2.1.2 版本包含一个回归，该回归会禁用未绑定到 SSO 服务的资源服务器中的颁发者验证。在具有多个 SSO 服务计划的 PCF 部署中，远程攻击者可以使用从另一个服务计划生成的令牌对使用此版本 SSO Connector 的未绑定资源服务器进行身份验证。

受影响的 Spring 产品和版本

• Spring Cloud SSO Connector 2.1.2 版本

缓解措施

受影响版本的用户应采取以下缓解措施

• 已修复此问题的版本包括：
  • Spring Cloud SSO Connector: 2.1.3
• 或者，您可以执行以下任一变通方法：
  • 通过服务实例绑定将您的资源服务器绑定到 SSO 服务计划
  • 在您的 Spring 应用程序属性中设置“sso.connector.cloud.available=true”

致谢

此漏洞由 Pivotal SSO 服务团队负责任地报告。

历史

2018-04-30：初始漏洞报告发布

描述

Spring Data Commons 1.13 到 1.13.10 版本、2.0 到 2.0.5 版本以及不受支持的旧版本包含一个属性绑定漏洞，该漏洞是由于不正确地中和特殊元素而引起的。未经身份验证的远程恶意用户（或攻击者）可以针对 Spring Data REST 支持的 HTTP 资源或使用 Spring Data 基于投影的请求负载绑定提供特制请求参数，从而导致远程代码执行攻击。

受影响的 Spring 产品和版本

• Spring Data Commons 1.13 到 1.13.10 (Ingalls SR10)
• Spring Data REST 2.6 到 2.6.10 (Ingalls SR10)
• Spring Data Commons 2.0 到 2.0.5 (Kay SR5)
• Spring Data REST 3.0 到 3.0.5 (Kay SR5)
• 更旧的不受支持的版本也受到影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 2.0.x 用户应升级到 2.0.6
• 1.13.x 用户应升级到 1.13.11
• 旧版本应升级到受支持的分支

已修复此问题的发布版本包括

• Spring Data REST 2.6.11 (Ingalls SR11)
• Spring Data REST 3.0.6 (Kay SR6)

无需其他缓解步骤。

请注意，对端点使用身份验证和授权（两者均由 Spring Security 提供）将此漏洞的暴露限制在授权用户。

致谢

此问题由 GoSecure Inc. 的 Philippe Arteau 识别并负责任地报告。

参考资料

• https://jira.spring.io/browse/DATACMNS-1282
• https://github.com/spring-projects/spring-data-commons/commit/b1a20ae1e82a63f99b3afc6f2aaedb3bf4dc432a
• https://github.com/spring-projects/spring-data-commons/commit/ae1dd2741ce06d44a0966ecbd6f47beabde2b653
• …

描述

Spring Data Commons 1.13 到 1.13.10 版本、2.0 到 2.0.5 版本以及不受支持的旧版本包含一个属性路径解析器漏洞，该漏洞是由于无限资源分配而引起的。未经身份验证的远程恶意用户（或攻击者）可以对 Spring Data REST 端点或使用属性路径解析的端点发出请求，从而导致拒绝服务（CPU 和内存消耗）。

受影响的 Spring 产品和版本

• Spring Data Commons 1.13 到 1.13.10 (Ingalls SR10)
• Spring Data REST 2.6 到 2.6.10 (Ingalls SR10)
• Spring Data Commons 2.0 到 2.0.5 (Kay SR5)
• Spring Data REST 3.0 到 3.0.5 (Kay SR5)
• 更旧的不受支持的版本也受到影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 2.0.x 用户应升级到 2.0.6
• 1.13.x 用户应升级到 1.13.11
• 旧版本应升级到受支持的分支

已修复此问题的发布版本包括

• Spring Data REST 2.6.11 (Ingalls SR11)
• Spring Data REST 3.0.6 (Kay SR6)

无需其他缓解步骤。

请注意，对端点使用身份验证和授权（两者均由 Spring Security 提供）将此漏洞的暴露限制在授权用户。

致谢

此问题由 Fortify Webinspect 的 Yevhenii Hrushka (Yevgeniy Grushka) 识别并负责任地报告。

参考资料

• https://jira.spring.io/browse/DATACMNS-1285
• https://github.com/spring-projects/spring-data-commons/commit/371f6590c509c72f8e600f3d05e110941607fbad
• https://github.com/spring-projects/spring-data-commons/commit/3d8576fe4e4e71c23b9e6796b32fd56e51182ee0
…

描述

此 CVE 解决了 Spring Framework 4.3.x 分支中 CVE-2018-1270 的部分修复。

Spring Framework 5.0.x 5.0.5 之前版本和 4.3.x 4.3.16 之前版本，以及不受支持的旧版本，允许应用程序通过 spring-messaging 模块使用简单的内存 STOMP 代理暴露基于 WebSocket 的 STOMP 端点。恶意用户（或攻击者）可以向代理构造一条消息，从而导致远程代码执行攻击。

受影响的 Spring 产品和版本

• Spring Framework 5.0 至 5.0.4
• Spring Framework 4.3 至 4.3.15
• 更旧的不受支持的版本也受到影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 5.0.x 用户应升级到 5.0.5
• 4.3.x 用户应升级到 4.3.16
• 旧版本应升级到受支持的分支

无需其他缓解步骤。

请注意，使用 Spring Security 提供的消息认证和授权功能，可将此漏洞的暴露限制在授权用户范围内。

致谢

此原始问题 CVE-2018-1270 由 Micro Focus Fortify 的 Alvaro Muñoz (@pwntester) 识别并负责任地报告。随后的 CVE-2018-1275 部分修复由…识别。