【漏洞预警】 Spring Data Commons多个严重安全漏洞

2018-04-17 17:39:49
Dear user
您好,近日,京东云安全团队监测到Spring官方披露了Data Commons存在的多个严重安全漏洞(漏洞编号:CVE-2018-1273及CVE-2018-1274),攻击者可利用该漏洞远程控制业务服务器或导致业务不可用。

为避免您的业务受影响,京东云安全团队建议您及时开展自查并进行更新修复,避免被外部攻击者入侵。

【漏洞详情】

1) 远程代码执行漏洞(CVE-2018-1273)

Spring Data是Spring的一个子项目,作用是统一和简化对各类型持久化存储,而不拘泥于是关系型数据库还是NoSQL数据存储。Spring Data Commons是其中一个共用的基础设施模块,该模块未对特殊属性进行安全处理,导致未授权的攻击者在请求资源时,可以构造特殊的参数进行攻击,实现在服务端执行远程代码。

2)拒绝服务漏洞(CVE-2018-1274)

Spring Data Commons模块在解析较长的属性路径时,未限制资源分配,导致未授权的攻击者可以通过消耗CPU和内存来实现拒绝服务攻击。

【风险等级】
严重,可导致业务主机被控制,服务不可用

【影响版本】

目前已知受影响版本如下:

Spring Data Commons 1.13 to 1.13.10 (Ingalls SR10)
Spring Data REST 2.6 to 2.6.10 (Ingalls SR10)
Spring Data Commons 2.0 to 2.0.5 (Kay SR5)
Spring Data REST 3.0 to 3.0.5 (Kay SR5)
官方不再支持的旧版本

【修复建议】

建议变更前提前做好数据备份和验证评估,避免变更引起业务不可用。

用户自行升级修复参考:

Spring Data Commons 2.0.x 用户请升级到 2.0.6
Spring Data Commons 1.13.x 用户请升级到 1.13.11
使用官方已停止支持的老版本用户,请升级到当前官方提供支持的新版本

或者使用已修复漏洞的官方版本如下:

Spring Data REST 2.6.11 (Ingalls SR11)
Spring Data REST 3.0.6 (Kay SR6)
Spring Boot 1.5.11
Spring Boot 2.0.1

相关组件下载地址:


【参考信息】

JD Cloud team

2018-04-17 17:39:49