Spring官方披露了Data Commons存在的多个严重安全漏洞(漏洞编号:CVE-2018-1273及CVE-2018-1274),攻击者可利用该漏洞远程控制业务服务器或导致业务不可用。
为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】
1) 远程代码执行漏洞(CVE-2018-1273)
Spring Data 是Spring 的一个子项目, 旨在统一和简化对各类型持久化存储, 而不拘泥于是关系型数据库还是NoSQL 数据存储。Spring Data Commons是其中一个共用的基础设施模块。该模块未对特殊属性进行安全处理,导致未授权的攻击者在请求资源时,可以构造特殊的参数进行攻击,实现在服务端执行远程代码.
2)拒绝服务漏洞(CVE-2018-1274)
Spring Data Commons模块在解析较长的属性路径时,未限制资源分配,导致未授权的攻击者可以通过消耗CPU和内存来实现拒绝服务攻击;
【风险等级】
严重
【漏洞风险】
业务机器被控制,服务不可用
【影响版本】
目前已知受影响版本如下:
Spring Data Commons 1.13 to 1.13.10 (Ingalls SR10)
Spring Data REST 2.6 to 2.6.10 (Ingalls SR10)
Spring Data Commons 2.0 to 2.0.5 (Kay SR5)
Spring Data REST 3.0 to 3.0.5 (Kay SR5)
官方不再支持的旧版本
【安全版本】
Spring Data Commons模块更新如下:
Spring Data Commons 2.0.x 用户请升级到 2.0.6
Spring Data Commons 1.13.x 用户请升级到 1.13.11
使用官方已停止支持的老版本用户,请升级到当前官方提供支持的新版本
已经修复漏洞官方版本如下:
Spring Data REST 2.6.11 (Ingalls SR11)
Spring Data REST 3.0.6 (Kay SR6)
Spring Boot 1.5.11
Spring Boot 2.0.1
【修复建议】
建议您更新受影响的版本到【安全版本】,下载地址如下:
Spring Boot:https://projects.spring.io/spring-boot/
Spring Data REST:https://projects.spring.io/spring-data-rest/
Spring Data Commons:https://github.com/spring-projects/spring-data-commons/releases
【温馨提醒】:建议变更前提前做好数据备份和验证评估,避免变更引起业务不可用。
【漏洞参考】
1)官方通告-CVE-2018-1273:https://pivotal.io/security/cve-2018-1273
2)官方通告-CVE-2018-1274:https://pivotal.io/security/cve-2018-1274