全部产品
云市场

【漏洞公告】Spring Framework多个CVE漏洞预警

更新时间:2018-04-10 21:58:15

2018年4月5日,Spring官方宣布在Spring Framework 5.0.5 和 4.3.15 修复了3个CVE漏洞(CVE-2018-1270,CVE-2018-1271,CVE-2018-1272)。其中CVE-2018-1270为远程代码执行高危漏洞,若使用spring-messaging + websocket + STOMP架构情况下,攻击者可以利用spring-messaging模块向代理发送恶意的消息,从而导致远程代码执行。

漏洞详情见下文


漏洞编号

CVE-2018-1270 –> CVE-2018-1275

CVE-2018-1271

CVE-2018-1272

漏洞名称

CVE-2018-1270:使用Spring-messaging导致远程命令执行

CVE-2018-1271:在Windows系统上使用Spring MVC导致目录遍历

CVE-2018-1272:使用Spring 框架存在Multipart类型污染漏洞

CVE-2018-1275:解决 CVE-2018-1270 补丁修复问题

官方评级

CVE-2018-1270(高危)

CVE-2018-1271(重要)

CVE-2018-1272(低危)

CVE-2018-1275(高危)

漏洞描述

CVE-2018-1270:若使用spring-messaging + websocket + STOMP架构情况下,攻击者可以利用spring-messaging模块向代理发送恶意的消息,从而导致远程代码执行。

CVE-2018-1271:Windows上使用Spring MVC导致目录遍历。Spring允许应用程序配置Spring MVC来服务静态资源(例如CSS、js、图像),当配置的静态资源为Windows上的文件系统提供时,攻击者可以构造一个特别的URL请求,该URL请求可能导致目录遍历。

CVE-2018-1272:使用Spring 框架存在Multipart类型污染漏洞

CVE-2018-1275:以解决CVE-2018-1270漏洞补丁4.3.15修复问题,未完整修复漏洞,需要更新至4.3.16版本

漏洞利用条件和方式

CVE-2018-1270:远程代码执行

CVE-2018-1271:目录遍历漏洞

CVE-2018-1272:权限提升漏洞

漏洞影响范围

Spring Framework 5.0-5.0.4

Spring Framework 4.3-4.3.14

已不支持的旧版本

漏洞检测

检查是否使用了受影响版本

漏洞修复建议(或缓解措施)

阿里云安全团队建议使用了Spring相关框架用户关注并及时更新到官方最新版

5.0.x 版本用户更新至 5.0.5版本

4.3.x 版本用户更新至 4.3.16版本

情报来源

https://spring.io/blog/2018/04/05/multiple-cve-reports-published-for-the-spring-framework

https://pivotal.io/security/cve-2018-1270

https://pivotal.io/security/cve-2018-1271

https://pivotal.io/security/cve-2018-1272

https://pivotal.io/security/cve-2018-1275