領先一步
VMware 提供培訓和認證,以加速您的進展。
了解更多Spring Security 安全性建議
CVE-2014-0054 CVE-2013-7315 / CVE-2013-6429 (XXE) 的不完整修復
描述
Spring MVC 的 Jaxb2RootElementHttpMessageConverter 也處理使用者提供的 XML,並且既未停用 XML 外部實體,也未提供停用它們的選項。 Jaxb2RootElementHttpMessageConverter 已修改為提供控制 XML 外部實體處理的選項,並且該處理現在預設為停用。
受影響的 Spring 產品和版本
- Spring MVC 3.0.0 至 3.2.7
- Spring MVC 4.0.0 至 4.0.1
- 更早的不支援版本可能受到影響
緩解措施
受影響版本的用戶應採用以下緩解措施
- 3.x 的使用者應升級到 3.2.8 或更高版本
- 4.x 的使用者應升級到 4.0.2 或更高版本
致謝
Spase Markovski 向 Spring Framework 開發人員報告了此問題。
參考資料
- https://jira.springsource.org/browse/SPR-11376
- https://github.com/spring-projects/spring-framework/commit/edba32b3093703d5e9ed42b5b8ec23ecc1998398#diff-1f3f1d5cdab9ac92d1ca5ec7def8f131
- https://github.com/spring-projects/spring-framework/commit/fb0683c066e74e9667d6cd8c5fa01f674c68c3be#diff-1f3f1d5cdab9ac92d1ca5ec7def8f131
歷史記錄
2014-Mar-11:發佈初始漏洞報告。
- 2014-Jun-19:更新以反映將 CVE-2013-4152 分割成 CVE-2013-4152 和 CVE-2013-7315。
- 2014-Aug-19:更正受影響的版本以排除 Spring MVC 3.2.8,並包含對 3.2.x commit 的參考。
報告漏洞
若要報告 Spring 產品組合中專案的安全性漏洞,請參閱安全性政策