Spring Security 建议

RSS 源

此页面列出了 Spring 安全咨询。

CVE-2013-6429 Spring Framework 中 XML 外部实体 (XXE) 注入 (CVE-2013-7315) 的修复不完整

| 2014年1月14日 | CVE-2013-6429

描述

Spring MVC 的 SourceHttpMessageConverter 也处理用户提供的 XML,但既没有禁用 XML 外部实体,也没有提供禁用它们的选项。SourceHttpMessageConverter 已被修改,以提供一个选项来控制 XML 外部实体的处理,并且该处理现在默认禁用。随后发现此修复也不完整 (CVE-2014-0054)。

受影响的 Spring 产品和版本

  • Spring MVC 3.0.0 到 3.2.4
  • Spring MVC 4.0.0.M1-4.0.0.RC1
  • 早期不受支持的版本可能受影响

缓解措施

受影响版本的用户应采取以下缓解措施

  • 3.x 用户应升级到 3.2.5 或更高版本
  • 4.x 用户应升级到 4.0.0 或更高版本(此问题也已在 4.0.0-RC2 中修复,但建议用户使用 4.0.0 或更高版本)
  • 为了完全缓解此问题(包括 CVE-2014-0054),3.x 用户应升级到 3.2.8 或更高版本,4.x 用户应升级到 4.0.2 或更高版本。

致谢

此问题由 Spring 开发团队发现。

参考资料

历史

2014年1月15日:初步漏洞报告。

  • 2014年6月19日:更新以反映 CVE-2013-4152 分割为 CVE-2013-4152 和 CVE-2013-7315。添加了关于额外漏洞报告的信息,该报告指出此修复不完整。

CVE-2013-6430 在使用 Spring MVC 时可能存在 XSS

| 2014年1月14日 | CVE-2013-6430

描述

JavaScriptUtils.javaScriptEscape() 方法没有转义在 JS 单引号字符串、JS 双引号字符串或 HTML 脚本数据上下文中敏感的所有字符。在大多数情况下,这将导致无法利用的解析错误,但在某些情况下,它可能导致 XSS 漏洞。

受影响的 Spring 产品和版本

  • Spring MVC 3.0.0 到 3.2.1
  • 早期不受支持的版本可能受影响

缓解措施

受影响版本的用户应采取以下缓解措施

  • 3.x 用户应升级到 3.2.2 或更高版本

致谢

此问题最初由 Jon Passki 报告给 Spring Framework 开发人员,安全影响由 Arun Neelicattu 提请 Pivotal 安全团队注意。

CVE-2013-4152 Spring Framework 中的 XML 外部实体 (XXE) 注入

| 2013年8月22日 | CVE-2013-4152

描述

Spring OXM 包装器在使用 JAXB unmarshaller 时没有公开任何属性来禁用实体解析。有四种可能的源实现传递给 unmarshaller:DOMSource、StAXSource、SAXSource 和 StreamSource。

对于 DOMSource,XML 已由用户代码解析,该代码负责防范 XXE。

对于 StAXSource,XMLStreamReader 已由用户代码创建,该代码负责防范 XXE。

对于 SAXSource 和 StreamSource 实例,Spring 默认处理外部实体,从而产生此漏洞。

通过默认禁用外部实体处理并添加一个选项以允许需要在使用来自受信任源的 XML 时使用此功能的用户启用它,解决了此问题。

受影响的 Spring 产品和版本

  • 3.0.0 到 3.2.3
  • 4.0.0.M1
  • 早期不受支持的版本可能受影响

缓解措施

受影响版本的用户应采取以下缓解措施

  • 3.x 用户应升级到 3.2.4 或更高版本
  • 4.x 用户应升级到 4.0.0.M2 或更高版本

致谢

这些问题由惠普企业安全团队的 Alvaro Munoz 发现。

参考资料

历史

2013年8月22日:初步…

CVE-2013-7315 Spring Framework 中的 XML 外部实体 (XXE) 注入

| 2013年8月22日 | CVE-2013-7315

描述

已发现 Spring MVC 在与 StAX XMLInputFactory 结合使用 JAXB 处理用户提供的 XML 时没有禁用外部实体解析。在这种情况下已禁用外部实体解析。随后发现此修复不完整 (CVE-2013-6429, CVE-2014-0054)。

受影响的 Spring 产品和版本

  • 3.2.0 到 3.2.3
  • 4.0.0.M1-4.0.0.M2 (Spring MVC)
  • 早期不受支持的版本可能受影响

缓解措施

受影响版本的用户应采取以下缓解措施

  • 3.x 用户应升级到 3.2.4 或更高版本
  • 4.x 用户应升级到 4.0.0.RC1 或更高版本
  • 为了完全缓解此问题(包括 CVE-2013-6429 和 CVE-2014-0054),3.x 用户应升级到 3.2.8 或更高版本,4.x 用户应升级到 4.0.2 或更高版本。

致谢

这些问题由惠普企业安全团队的 Alvaro Munoz 发现。

参考资料

历史

2013年8月22日:初步漏洞…

报告漏洞

要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略

领先一步

VMware 提供培训和认证,助您加速进步。

了解更多

获得支持

Tanzu Spring 提供 OpenJDK™、Spring 和 Apache Tomcat® 的支持和二进制文件,只需一份简单的订阅。

了解更多

即将举行的活动

查看 Spring 社区所有即将举行的活动。

查看所有