Spring Framework 多个安全漏洞预警

Linuxeden 开源社区 --

4 月 5 日，Pivotal 发布了 Spring Framework 存在多个安全漏洞的公告：

（1）spring-messaging 模块远程代码执行漏洞

对应 CVE 编号：CVE-2018-1270

漏洞公告链接：https://ift.tt/2GD2um3

（2）运行于 Windows 系统的 Spring MVC 存在目录遍历漏洞

对应 CVE 编号：CVE-2018-1271

漏洞公告链接：https://ift.tt/2q9zCH8

（3）Spring MVC 或 Spring WebFlux 服务器存在 Multipart 类型污染漏洞

对应 CVE 编号：CVE-2018-1272

漏洞公告链接：https://ift.tt/2Jl9yBz

漏洞描述

CVE-2018-1270 漏洞：Spring Framework 的 5.*版本、4.3.*版本以及不再支持的旧版本，通过 spring-messaging 和 spring-websocket 模块提供的基于 WebSocket 的 STOMP，存在被攻击者建立 WebSocket 连接并发送恶意攻击代码的可能，从而实现远程代码执行攻击，建议尽快更新到新的版本。

CVE-2018-1271 漏洞 ：Spring Framework 的 5.*版本、4.3.*版本以及不再支持的旧版本，Spring MVC 允许应用程序对其配置提供静态资源，在 Windows 系统上实现该功能时，攻击者通过请求构造的特定资源 URL，可能导致目录遍历的效果产生，建议尽快更新到新的版本。

CVE-2018-1272 漏洞：Spring Framework 的 5.*版本、4.3.*版本以及不再支持的旧版本，当 Spring MVC 或 Spring WebFlux 服务器接受把客户端请求再转向另一台服务器的场景下，攻击者通过构造和污染 Multipart 类型请求，可能对另一台服务器实现权限提升攻击，建议尽快更新到新的版本。

漏洞影响范围

Spring spring-messaging 远程代码执行漏洞 (CVE-2018-1270)、(CVE-2018-1271)、(CVE-2018-1272) 等影响版本如下：

（1）Spring Framework 5.*（5.0 到 5.0.4）版本，建议更新到 5.0.5 版本

（2）Spring Framework 4.3.*（4.3 到 4.3.14）版本，建议更新到 4.3.15 版本

（3）以及不再受支持的旧版本，建议更新到 4.3.15 版本或 5.0.5 版本

官方历史安全公告列表，请参考：

https://ift.tt/2H2L2Xr

https://spring.io/blog/2018/04/05/multiple-cve-reports-published-for-the-spring-framework

来自 安恒信息

转自 https://ift.tt/2GF1w4F

The post Spring Framework 多个安全漏洞预警 appeared first on Linuxeden开源社区.

https://ift.tt/2Es1jzQ