转载

【漏洞公告】Spring Framework多个安全漏洞预警

温馨提示:
本文最后更新于 2018年04月24日,已超过 2,405 天没有更新。若文章内的图片失效(无法正常加载),请留言反馈或直接联系我

2018年4月7日,阿里云云盾应急响应中心监测到Spring官方在Spring Framework 5.0.5 和 4.3.15 修复了3个CVE漏洞(CVE-2018-1270,CVE-2018-1271,CVE-2018-1272)

。其中CVE-2018-1270为远程代码执行高危漏洞,若使用spring-messaging + websocket + STOMP架构情况下,攻击者可以利用spring-messaging模块向代理发送恶意的消息,从而导致远程代码执行。


 

漏洞名称:

CVE-2018-1270:使用Spring-messaging导致远程命令执行

CVE-2018-1271:在Windows系统上使用Spring MVC导致目录遍历

CVE-2018-1272:使用Spring 框架存在Multipart类型污染漏洞

 

官方评级:

CVE-2018-1270:高危

CVE-2018-1271:严重

CVE-2018-1272:低危

 

受影响范围:

Spring Framework 5.0 - 5.0.4

Spring Framework 4.3 - 4.3.14

官方已不支持的旧版本

 

解决方案:

阿里云安全团队建议使用了Spring相关框架用户关注并及时更新到官方最新版

5.0.x 版本用户更新至 5.0.5版本

4.3.x 版本用户更新至 4.3.15版本

 

对应的修复版本,官方下载链接:https://projects.spring.io/spring-framework/

 

更多详情请点击


我们会关注后续进展,请随时关注官方公告。

 

如有任何问题,可随时通过工单或服务电话95187联系反馈。

阿里云云盾应急响应中心

2018.04.07

正文到此结束
所属分类:后端编程
热门推荐
相关文章
关于我
微信公众号
张亚东博客
一个程序员的个人博客,心之所向,无所不能
本文目录
    标签云
    Linux Java Spring Spring Boot Maven Docker IDE uzip war Shell Flyat chrome 自动化测试 Git Task 爬虫 MySQL JS 正则 Tomcat FindBugs 版本控制 Nginx Apache 其他 阿里云优惠券 微信小程序 网易云音乐 阿里云服务器 阿里云优惠活动 ztree Cordova Android 开源 第三方登录 安全 websocket OneBlog 码一码 微信 yuicompressor 博客迁移 开源 hunter 开源软件 JustAuth
    近期评论
    网站信息
    • 文章总数:148 篇
    • 标签总数:46 个
    • 分类总数:11 个
    • 留言数量:964 条
    • 在线人数:1
    • 运行天数:3,086天
    • 最后更新:2021年08月13日17点
    • 系统版本:v2.3.4