此页面列出了 Spring 安全咨询。
此 CVE 描述了利用与 CVE-2017-4971 中描述的相同漏洞的第二条路径。
未更改 MvcViewFactoryCreator useSpringBinding 属性值(默认禁用,即设置为 “false”)的应用程序,可能容易受到视图状态中恶意 EL 表达式的攻击,这些视图状态处理表单提交但没有
受影响版本的用户应采取以下缓解措施
请注意,通常情况下,建议始终在视图状态中使用显式数据绑定声明,以防止表单提交设置目标对象上不应设置的字段,这是一种良好的实践。
使用 JSF 的 Spring Web Flow 用户不受此报告影响。
该问题由安全研究员 he1renyagao 发现。
当配置为启用默认类型时,Jackson 包含一个可能导致任意代码执行的反序列化漏洞。Jackson 通过黑名单已知“反序列化小工具”修复了此漏洞。
Spring Security 使用全局默认类型启用配置 Jackson,这意味着通过之前的漏洞,如果以下所有条件都为真,则可以执行任意代码:
Jackson 提供了一种黑名单方法来防范此类攻击,但当 Spring Security 启用默认类型时,Spring Security 应该积极主动地阻止未知的“反序列化小工具”。
受影响版本的用户应采取以下缓解措施
未更改 MvcViewFactoryCreator useSpringBinding 属性值(默认禁用,即设置为“false”)的应用程序,可能容易受到视图状态中恶意 EL 表达式的攻击,这些视图状态处理表单提交但没有
受影响版本的用户应采取以下缓解措施
该问题由 Gotham Digital Science 的 Stefano Ciccone 发现
Spring Security 在处理安全约束时未考虑 URL 路径参数。通过向请求添加带有编码“/”的 URL 路径参数,攻击者可能能够绕过安全约束。此问题的根本原因是 Servlet 规范中关于路径参数处理的缺乏明确性(见下文)。一些 Servlet 容器在 getPathInfo() 返回的值中包含路径参数,而另一些则不包含。Spring Security 使用 getPathInfo() 返回的值作为将请求映射到安全约束过程的一部分。路径参数的意外存在可能导致约束被绕过。
Apache Tomcat(所有当前版本)的用户不受此漏洞影响,因为 Tomcat 遵循 Servlet 专家组先前提供的指导,并从 getContextPath()、getServletPath() 和 getPathInfo() [1] 返回的值中剥离路径参数。
使用其他基于 Apache Tomcat 的 Servlet 容器的用户可能会受到影响,具体取决于路径参数的处理是否已修改。
IBM WebSphere Application Server 8.5.x 的用户已知受影响。
使用其他实现 Servlet 规范的容器的用户可能会受到影响。
[1] https://issues.apache.org/bugzilla/show_bug.cgi?id=25015
采用以下任一缓解措施将防止此漏洞。
该问题由 NTT DATA Corporation 的 Shumpei Asahara 和 Yuji Ito 发现,并负责任地报告给 Pivotal。
提供给 ResourceServlet 的路径未正确清理,因此容易受到目录遍历攻击。
受影响版本的用户应采取以下缓解措施
请注意,很少有应用程序可能使用 ResourceServlet。自 3.0 版本(大约 2009 年)以来,它已被 ResourceHttpRequestHandler 和相关类普遍取代,这些类默认使用并提供更高级的功能,请参阅参考文档中的“提供资源”。ResourceServlet 在 3.2.x 和 4.x 中已被弃用,并从 5.x 版本开始完全移除。
该问题由 NTT DATA Corporation 的 Shumpei Asahara 和 Yuji Ito 发现,并负责任地报告给 Pivotal。
传递给使用手动声明的 JPQL 查询的用户定义的 Spring Data 存储库查询方法的 Sort 实例会按原样传递给持久化提供程序,并允许攻击者将任意 JPQL 注入到 ORDER BY 子句中,攻击者可能利用这些子句根据查询结果的元素顺序因注入的 JPQL 而改变,从而推断出未暴露的字段信息。
如果 Sort 实例来自不可信的来源,例如 Web 请求参数,则此问题尤为突出。
受影响版本的用户应采取以下缓解措施
该漏洞由 Silverskin Information Security 的 Niklas Särökaari 以及 Joona Immonen、Arto Santala、Antti Virtanen、Michael Holopainen 和 Antti Ahola(均来自…)负责任地报告。
在使用白标视图处理授权请求时,response_type 参数值被作为 Spring SpEL 执行,这使得恶意用户可以通过精心构造 response_type 的值来触发远程代码执行。
受影响版本的用户应采取以下缓解措施
此问题由 David Vieira-Kurz (@secalert) 发现,并由 Oliver Schoenherr 代表 Immobilien Scout GmbH 报告。
类 org.springframework.core.serializer.DefaultDeserializer 不会根据白名单验证反序列化对象。通过提供一个精心构造的序列化对象,例如 Chris Frohoff 的 Commons Collection 小工具,可以实现远程代码执行。
受影响版本的用户应采取以下缓解措施
漏洞发现者:Code White 的 Matthias Kaiser (www.code-white.com)
当针对 OAuth 2 API 提供商授权应用程序时,Spring Social 容易受到跨站请求伪造 (CSRF) 攻击。攻击涉及恶意用户使用虚假帐户启动 OAuth 2 授权流程,但通过诱骗受害者在其浏览器中访问回调请求来完成它。因此,攻击者将通过虚假提供商帐户访问受害者在易受攻击站点上的帐户。
受影响的 Spring Social 版本的用户应按如下方式升级
在上述版本中,Spring Social 要求回调请求中存在一个 `state` 参数。如果未找到,则会抛出 IllegalStateException,并且授权流程终止。
该问题最初由 Include Security 的 Kris Bosch 发现。然后,sourceclear (https://srcclr.com) 的 Paul Ambrosini 识别出根本原因、易受攻击的库和易受攻击的代码。
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略
