设为首页收藏本站我的广告

运维网

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
总共321条微博

每日一博

查看: 711|回复: 0

【站长推荐】Spring Framework 多个安全漏洞预警【顶】

[复制链接]

该用户从未签到

sun 发表于 2018-4-8 11:04:37 | 显示全部楼层 |阅读模式
【站长推荐】4月5日,Pivotal 发布了 Spring Framework 存在多个安全漏洞的公告:
(1)spring-messaging 模块远程代码执行漏洞
对应CVE编号:CVE-2018-1270
漏洞公告链接:https://pivotal.io/security/cve-2018-1270
(2)运行于 Windows 系统的 Spring MVC 存在目录遍历漏洞
对应CVE编号:CVE-2018-1271
漏洞公告链接:https://pivotal.io/security/cve-2018-1271
(3)Spring MVC 或 Spring WebFlux 服务器存在 Multipart 类型污染漏洞
对应CVE编号:CVE-2018-1272
漏洞公告链接:https://pivotal.io/security/cve-2018-1272
漏洞描述
CVE-2018-1270漏洞:Spring Framework的5.*版本、4.3.*版本以及不再支持的旧版本,通过spring-messaging和spring-websocket模块提供的基于WebSocket的STOMP,存在被攻击者建立WebSocket连接并发送恶意攻击代码的可能,从而实现远程代码执行攻击,建议尽快更新到新的版本。
CVE-2018-1271漏洞:Spring Framework的5.*版本、4.3.*版本以及不再支持的旧版本,Spring MVC允许应用程序对其配置提供静态资源,在Windows系统上实现该功能时,攻击者通过请求构造的特定资源URL,可能导致目录遍历的效果产生,建议尽快更新到新的版本。
CVE-2018-1272漏洞:Spring Framework的5.*版本、4.3.*版本以及不再支持的旧版本,当Spring MVC或Spring WebFlux服务器接受把客户端请求再转向另一台服务器的场景下,攻击者通过构造和污染Multipart类型请求,可能对另一台服务器实现权限提升攻击,建议尽快更新到新的版本。
漏洞影响范围
Spring spring-messaging远程代码执行漏洞(CVE-2018-1270)、(CVE-2018-1271)、(CVE-2018-1272)等影响版本如下:
(1)Spring Framework 5.*(5.0到5.0.4)版本,建议更新到5.0.5版本
(2)Spring Framework 4.3.*(4.3到4.3.14)版本,建议更新到4.3.15版本
(3)以及不再受支持的旧版本,建议更新到4.3.15版本或5.0.5版本
官方历史安全公告列表,请参考:
https://pivotal.io/security/
https://spring.io/blog/2018/04/05/multiple-cve-reports-published-for-the-spring-framework
来自安恒信息
源自:网络
运维网 感谢您的阅读
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|申请友链|sitemap|手机版|小黑屋|Archiver|运维网 ( 京ICP备16008201号  

GMT+8, 2018-12-16 18:09 , Processed in 0.083197 second(s), 28 queries , XCache On.

Powered by Discuz! X3.4 Licensed

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表