Spring 部落格

所有文章
工程
發布
新聞與活動

CVE-2014-0097 已在 Spring Security 3.2.2 和 3.1.6 中修正

發布 | Rob Winch | 2014 年 3 月 11 日 | ...

Spring Security 3.2.2 (變更日誌) 和 3.1.6 (變更日誌) 已發布,並可在 Maven Central 中取得。

在這些重點中,這兩個版本解決了 CVE-2014-0097,如果所有以下條件都成立,它允許惡意使用者冒充具有空白密碼的使用者

  • 應用程式正在使用 ActiveDirectoryLdapAuthenticator
  • 目錄允許匿名繫結(不建議)

注意:這會影響 LdapAuthenticationProvider 或 <ldap-authentication-provider> 的使用者

有關發布的完整詳細資訊,請參閱前面提到的變更日誌。

取得 Spring 電子報

與 Spring 電子報保持聯繫

訂閱

領先一步

VMware 提供培訓和認證,以加速您的進展。

了解更多

取得支援

Tanzu Spring 在一個簡單的訂閱中提供對 OpenJDK™、Spring 和 Apache Tomcat® 的支援和二進位檔案。

了解更多

即將到來的活動

查看 Spring 社群中所有即將到來的活動。

檢視全部