设为首页收藏本站

                      LUPA开源社区

                       找回密码
                       注册
                      文章 帖子 博客
                      LUPA开源社区 首页 IT综合资讯 查看内容

                      Spring Framework多个安全漏洞预警

                      2018-4-8 23:06| 发布者: joejoe0332| 查看: 131697| 评论: 1|原作者: 安恒信息|来自: 安恒信息

                      摘要: 4月5日,Pivotal 发布了 Spring Framework 存在多个安全漏洞的公告:(1)spring-messaging 模块远程代码执行漏洞对应CVE编号:CVE-2018-1270漏洞公告链接:https://pivotal.io/security/cve-2018-1270(2)运行于 W ...

                      4月5日,Pivotal 发布了 Spring Framework 存在多个安全漏洞的公告:

                      (1)spring-messaging 模块远程代码执行漏洞

                      对应CVE编号:CVE-2018-1270

                      漏洞公告链接:https://pivotal.io/security/cve-2018-1270

                      (2)运行于 Windows 系统的 Spring MVC 存在目录遍历漏洞

                      对应CVE编号:CVE-2018-1271

                      漏洞公告链接:https://pivotal.io/security/cve-2018-1271

                      (3)Spring MVC 或 Spring WebFlux 服务器存在 Multipart 类型污染漏洞

                      对应CVE编号:CVE-2018-1272

                      漏洞公告链接:https://pivotal.io/security/cve-2018-1272

                      漏洞描述

                      CVE-2018-1270漏洞:Spring Framework的5.*版本、4.3.*版本以?#23433;?#20877;支持的旧版本,通过spring-messaging和spring-websocket模块提供的基于WebSocket的STOMP,存在被攻击者建立WebSocket连接并发送恶意攻击代码的可能,从而实现远程代码执行攻击,建议尽快更新到新的版本。

                      CVE-2018-1271漏洞:Spring Framework的5.*版本、4.3.*版本以?#23433;?#20877;支持的旧版本,Spring MVC允许应用程序对其配置提供静态资源,在Windows系统上实现该功能时,攻击者通过请求构造的特定资源URL,可能导致目录遍历的效果产生,建议尽快更新到新的版本。

                      CVE-2018-1272漏洞:Spring Framework的5.*版本、4.3.*版本以?#23433;?#20877;支持的旧版本,当Spring MVC或Spring WebFlux服务器接受把客户端请求再转向另一台服务器的场景下,攻击者通过构造和污染Multipart类型请求,可能对另一台服务器实现权限提升攻击,建议尽快更新到新的版本。

                      漏洞影响范围

                      Spring spring-messaging远程代码执行漏洞(CVE-2018-1270)、(CVE-2018-1271)、(CVE-2018-1272)等影响版本如下:

                      (1)Spring Framework 5.*(5.0到5.0.4)版本,建议更新到5.0.5版本

                      (2)Spring Framework 4.3.*(4.3到4.3.14)版本,建议更新到4.3.15版本

                      (3)以?#23433;?#20877;受支持的旧版本,建议更新到4.3.15版本或5.0.5版本

                      官方历史安全公告列表,请参考:

                      https://pivotal.io/security/

                      https://spring.io/blog/2018/04/05/multiple-cve-reports-published-for-the-spring-framework

                      来自安恒信息


                      酷毙

                      雷人

                      鲜花

                      鸡蛋

                      漂亮
                      • 快毕业了,没工作经验,
                        找份工作好难啊?
                        赶紧去人才芯片公司磨练吧!!

                      最新评论

                      关于LUPA|人才芯片工程|人才招聘|LUPA?#29616;?/a>|LUPA教育|LUPA开源社区 ( 浙B2-20090187  

                      返回顶部
                      双色球中奖图片

                                                              国际米兰vs乌迪内斯 vr赛车计划 古怪猴子贴吧 电影,柏林赫塔队队歌 方舟生存 开拓者vs火箭历史 海豚礁送彩金 福建11选5开奖号码 麻将游戏 江西麻将桌批发在那里