- A+
一、概要
当地时间5月9日,Spring官方发布Spring 相关的多个安全漏洞CVE-2018-1257~CVE-2018-1261,攻击者可利用该漏洞实施DoS攻击、远程代码执行攻击或获取敏感信息泄露。其中CVE-2018-1260为高危的远程代码执行漏洞。
利用漏洞:CVE-2018-1257,CVE-2018-1258,CVE-2018-1259,CVE-2018-1260, CVE-2018-1261
参考链接:
二、漏洞级别
漏洞级别:【严重】
(说明:漏洞级别共四级:一般、重要、严重、紧急。)
三、影响范围
CVE-2018-1257 受影响的版本:
Spring Framework 5.0 to 5.0.5
Spring Framework 4.3 to 4.3.16
官方已停止支持的旧版本
CVE-2018-1258 受影响的版本:
Spring Framework 5.0.5.RELEASE 与 Spring Security (any version) 同时使用
CVE-2018-1259 受影响的版本:
Spring Data Commons 1.13 to 1.13.11 (Ingalls SR11)
Spring Data REST 2.6 to 2.6.11 (Ingalls SR11)
Spring Data Commons 2.0 to 2.0.6 (Kay SR6)
Spring Data REST 3.0 to 3.0.6 (Kay SR6)
CVE-2018-1260 受影响的版本:
Spring Security OAuth 2.3 to 2.3.2
Spring Security OAuth 2.2 to 2.2.1
Spring Security OAuth 2.1 to 2.1.1
Spring Security OAuth 2.0 to 2.0.14
官方已停止支持的旧版本
CVE-2018-1261 受影响的版本:
Spring Integration Zip Community Extension Project version 1.0.0.RELEASE
四、安全建议
建议使用了Spring相关框架用户关注并及时更新到官方最新版本。
Spring Framework缓解措施:
0.x 用户升级至5.0.6.
3.x用户升级至4.3.17.
不再受支持的版本应升级至各自对应的安全版本
Spring Data Commons及Spring Data REST缓解措施:
Spring Data Commons 13.x用户升级至1.13.12 (Ingalls SR12)
Spring Data Commons 0.x用户升级至2.0.7 (Kay SR7)
升级至 XMLBeam 1.4.15
Spring Data REST 2.6.12 (Ingalls SR12)
Spring Data REST 3.0.7 (Kay SR7)
Spring Security OAuth缓解措施:
2.3.x用户升级至2.3.3
2.2.x用户升级至2.2.2
2.1.x用户升级至2.1.2
2.0.x用户升级至2.0.15
不再受支持的版本应升级至各自对应的安全版本
Spring Integration Zip缓解措施:
升级至0.1.RELEASE
同时建议用户避免解压来历不明的zip文件
修复版本下载链接:
https://projects.spring.io/spring-security-oauth/
https://projects.spring.io/spring-data-rest/
https://projects.spring.io/spring-framework/
https://github.com/spring-projects/spring-integration-extensions/tree/master/spring-integration-zip
https://github.com/spring-projects/spring-data-commons/releases
注意:修复漏洞前请将资料备份,并进行充分测试。
- 安卓客户端下载
- 微信扫一扫
-
- 微信公众号
- 微信公众号扫一扫
-
