【漏洞预警】Spring Framework多个高危安全漏洞

2018-04-11 15:29:29
Dear user
您好,近日,京东云安全团队监测到Spring官方在Spring Framework 5.0.5 和 4.3.15 修复了三个CVE漏洞(CVE-2018-1270,CVE-2018-1271,CVE-2018-1272)。

其中CVE-2018-1270为远程代码执行高危漏洞,若使用spring-messaging+websocket+STOMP架构情况下,攻击者可以利用spring-messaging模块向代理发送恶意的消息,从而导致远程代码执行。

【漏洞详情】

1)Spring-messaging模块远程代码执行漏洞(严重,CVE-2018-1270)

通过基于spring-messaging和spring-websocket模块提供的WebSocket的STOMP,可能存在利用WebSocket连接发送恶意攻击代码的风险,从而实现远程代码执行攻击.

2)Windows系统下的Spring MVC存在目录遍历漏洞(高危,CVE-2018-1271)

Spring MVC允许应用程序对其配置提供静态资源,在Windows系统上实现该功能时,攻击者通过请求构造的特定资源URL,可能导致目录遍历.

3)Spring MVC或Spring WebFlux服务器存在Multipart类型污染漏洞(低危,CVE-2018-1272)

当Spring MVC或Spring WebFlux服务器转发客户端请求到另一台服务器的场景下,通过构造和污染Multipart类型请求,可能实现对另一台服务器权限提升攻击.

【风险等级】
CVE-2018-1270:远程代码执行漏洞,安全风险等级:严重;
CVE-2018-1271:目录遍历漏洞,安全风险等级:高危;
CVE-2018-1272:权限提升漏洞,安全风险等级:低危。

【影响版本】
Spring Framework 5.*(5.0到5.0.4)版本;
Spring Framework 4.3.*(4.3到4.3.14)版本;
官方已停止维护的旧版本;

【修复建议】
京东云安全团队建议使用了Spring相关框架用户关注并及时更新到官方最新版

5.0.x 版本用户更新至 5.0.5版本
4.3.x 版本用户更新至 4.3.16版本

对应的修复版本,官方下载链接:https://projects.spring.io/spring-framework/

【漏洞参考】
3)官方通告:https://pivotal.io/security/

JD Cloud team

2018-04-11 15:29:29