Spring架構,是用于開發Java Web的應用程式的。最近,其開發人員修補了三個漏洞,其中包括可用于遠端代碼執行的關鍵漏洞。
最嚴重的缺陷位于spring-messaging子產品,它允許應用程式通過記憶體中的STOMP代理在WebSocket端點上公開STOMP(簡單文本導向消息傳遞協定)。攻擊者可以通過向代理發送特制的消息,利用該問題來擷取遠端代碼執行。
該漏洞被命名為CVE-2018-1270,它影響了Spring Framework版本4.3.x和5.x,以及不再支援舊版本。強烈建議使用者更新到新釋出的Spring Framework 5.0.5或4.3.15。
第二個進階漏洞CVE-2018-1271,影響了用Spring MVC去服務靜态資源如Windows上的檔案系統裡的CSS,JS的應用。該漏洞允許攻擊者通過向特制URL發送請求來執行目錄浏覽,以通路受限資源。
凡是未使用Tomcat或WildFly作為其伺服器的應用程式,或者未使用Windows檔案的不受影響。
在Spring Framework 5.0.5和4.3.15,CVE-2018-1272中修補的第三個漏洞可能導緻權限提升,但由于利用需要額外的攻擊媒介,是以評級較低。
“當Spring MVC或Spring WebFlux伺服器應用程式(伺服器A)從遠端用戶端接收輸入,然後使用該輸入向另一個伺服器(伺服器B)發出多部分請求時,它可能會受到攻擊,其中一個額外的多餘部分插入伺服器A的請求内容,導緻伺服器B對其預期的部分使用錯誤的值,“Spring開發人員指出。
但是,為了能成功,攻擊者“必須能夠猜測伺服器A為伺服器B的多部分請求選擇的多部分邊界值,這要求攻擊者具有控制伺服器或檢視伺服器的能力。”
Spring具有子產品化架構,很受應用程式開發人員的歡迎,尤其是在企業領域。根據2016年對2040名參與者的調查結果,Spring MVC和Spring Boot是Java開發人員中最受歡迎的兩個Web架構,分别被43%和29%的受訪者使用。
![Java String.format方法的簡單使用[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)