Spring 框架及组件存在多个安全漏洞

关注圣博润了解更多！

Spring简介

Spring是一个开放源代码的设计层面框架，他解决的是业务逻辑层和其他各层的松耦合问题，因此它将面向接口的编程思想贯穿整个系统应用。Spring是于2003 年兴起的一个轻量级的Java 开发框架，由Rod Johnson创建。简单来说，Spring是一个分层的JavaSE/EE full-stack(一站式) 轻量级开源框架。

近日， Spring官方发布多个安全公告其中包括3个严重，2个高危漏洞，漏洞涉及Spring Messaging组件， Spring Security框架，Spring Data 框架等多个模块，攻击者可通过这些漏洞实施远程代码执行攻击、拒绝服务攻击及获取敏感信息等。

Spring Messaging组件中存在漏洞可导致正则表达式拒绝服务攻击（CVE-2018-1257）

1

漏洞概述

2

修复方案

升级Spring框架到5.0.6/4.3.17。

3

参考链接

https://pivotal.io/security/cve-2018-1257

Spring Security框架Method Security安全限制绕过漏洞（CVE-2018-1258）

1

漏洞概述

2

修复方案

升级Spring框架到5.0.6及以上。

升级Spring Boot到2.0.2及以上。

3

参考链接

https://pivotal.io/security/cve-2018-1258

Spring Data 框架使用XMLBean产生XXE漏洞（CVE-2018-1259）

1

漏洞概述

2

修复方案

1.13.x 升级到 1.13.12 (Ingalls SR12)

2.0.x 升级到 2.0.7 (Kay SR7)

或升级 XMLBeam 到 1.4.15

以下框架已经修复了该问题：

Spring Data REST 2.6.12 (Ingalls SR12)

Spring Data REST 3.0.7 (Kay SR7)。

3

参考链接

https://pivotal.io/security/cve-2018-1259

Spring-Security-OAuth2 远程代码执行漏洞（CVE-2018-1260）

1

漏洞概述

2

修复方案

2.3.x 的用户应该更新升级到2.3.3

2.2.x的用户应该更新升级到2.2.2

2.1.x的用户应该更新升级到2.1.2

2.0.x的用户应该更新升级到2.0.15

不再受支持的版本应升级至各自对应的安全版本。

3

参考链接

https://pivotal.io/security/cve-2018-1260

Spring-Integration-Zip 任意文件写入漏洞 Unsafe Unzip with spring-integration-zip（CVE-2018-1261）

1

漏洞概述

2

修复方案

升级至以下安全版本：

1.0.1.RELEASE

同时，应避免解压来历不明的zip文件。

3

参考链接

https://pivotal.io/security/cve-2018-1261

检索最新漏洞信息

提供漏洞预警、通告及响应服务

作为一家专业的网络安全服务供应商

圣博润特别注重对最新安全漏洞的发现和追踪

以“及时性、准确性、层次性”为宗旨

为用户提供漏洞预警、通告及响应服务