領先一步
VMware 提供培訓和認證,以加速您的進度。
了解更多Spring Security 安全公告
Spring Framework 中 XML 外部實體 (XXE) 注入漏洞 (CVE-2013-7315) 的 CVE-2013-6429 修補不完整
描述
Spring MVC 的 SourceHttpMessageConverter 也會處理使用者提供的 XML,且未停用 XML 外部實體,也未提供停用它們的選項。SourceHttpMessageConverter 已被修改為提供控制 XML 外部實體處理的選項,並且預設會停用該處理。隨後發現此修補程式也不完整 (CVE-2014-0054)。
受影響的 Spring 產品和版本
- Spring MVC 3.0.0 至 3.2.4
- Spring MVC 4.0.0.M1-4.0.0.RC1
- 可能影響早期不受支援的版本
緩解措施
受影響版本的用戶應採取以下緩解措施
- 3.x 的用戶應升級到 3.2.5 或更高版本
- 4.x 的用戶應升級到 4.0.0 或更高版本(此問題也在 4.0.0-RC2 中修復,但建議用戶使用 4.0.0 或更高版本)
- 為了完全緩解此問題(包括 CVE-2014-0054),3.x 的用戶應升級到 3.2.8 或更高版本,而 4.x 的用戶應升級到 4.0.2 或更高版本。
致謝
此問題由 Spring 開發團隊識別。
參考
歷史
2014-Jan-15:首次漏洞報告。
- 2014-Jun-19:更新以反映將 CVE-2013-4152 分割為 CVE-2013-4152 和 CVE-2013-7315。新增了關於額外漏洞報告的資訊,該報告指出此修補程式不完整。
報告漏洞
若要報告 Spring 系列產品中的安全性漏洞,請參閱安全性政策