Spring 博客

所有文章
工程
发布
新闻与活动

CVE-2014-0097 在 Spring Security 3.2.2 和 3.1.6 中已修复

发布 | Rob Winch | 2014 年 3 月 11 日 | ...

Spring Security 3.2.2 (变更日志) 和 3.1.6 (变更日志) 已发布,可在 Maven Central 中获取。

其中,这两个版本解决了 CVE-2014-0097,如果以下所有条件都成立,则恶意用户可以模拟具有空密码的用户

  • 应用程序正在使用 ActiveDirectoryLdapAuthenticator
  • 该目录允许匿名绑定(不推荐)

注意:这不会影响 LdapAuthenticationProvider 或 <ldap-authentication-provider> 的用户

有关发布的完整详细信息,请参阅前面提到的变更日志。

获取 Spring 新闻通讯

随时了解 Spring 新闻通讯

订阅

更进一步

VMware 提供培训和认证,以加速您的进步。

了解更多

获取支持

Tanzu Spring 在一个简单的订阅中提供 OpenJDK™、Spring 和 Apache Tomcat® 的支持和二进制文件。

了解更多

即将举行的活动

查看 Spring 社区中所有即将举行的活动。

查看全部