【漏洞公告】Spring Framework多个安全漏洞预警
温馨提示:
本文最后更新于 2018年04月24日,已超过 2,421 天没有更新。若文章内的图片失效(无法正常加载),请留言反馈或直接联系我。
2018年4月7日,阿里云云盾应急响应中心监测到Spring官方在Spring Framework 5.0.5 和 4.3.15 修复了3个CVE漏洞(CVE-2018-1270,CVE-2018-1271,CVE-2018-1272)
。其中CVE-2018-1270为远程代码执行高危漏洞,若使用spring-messaging + websocket + STOMP架构情况下,攻击者可以利用spring-messaging模块向代理发送恶意的消息,从而导致远程代码执行。
漏洞名称:
CVE-2018-1270:使用Spring-messaging导致远程命令执行
CVE-2018-1271:在Windows系统上使用Spring MVC导致目录遍历
CVE-2018-1272:使用Spring 框架存在Multipart类型污染漏洞
官方评级:
CVE-2018-1270:高危
CVE-2018-1271:严重
CVE-2018-1272:低危
受影响范围:
Spring Framework 5.0 - 5.0.4
Spring Framework 4.3 - 4.3.14
官方已不支持的旧版本
解决方案:
阿里云安全团队建议使用了Spring相关框架用户关注并及时更新到官方最新版
5.0.x 版本用户更新至 5.0.5版本
4.3.x 版本用户更新至 4.3.15版本
对应的修复版本,官方下载链接:https://projects.spring.io/spring-framework/
更多详情请点击
我们会关注后续进展,请随时关注官方公告。
如有任何问题,可随时通过工单或服务电话95187联系反馈。
阿里云云盾应急响应中心
2018.04.07
正文到此结束
- 本文标签: Spring Spring Boot 阿里云服务器
- 本文链接: https://zhyd.me/article/91
- 版权声明: 本文为互联网转载文章,出处已在文章中说明(部分除外)。如果侵权,请联系本站长删除,谢谢。