Spring Security 安全性建議

所有建議

CVE-2014-0097 空白密碼可能繞過使用者驗證

| 2014 年 3 月 11 日 | CVE-2014-0097

說明

ActiveDirectoryLdapAuthenticator 不會檢查密碼長度。 如果目錄允許匿名繫結,則它可能會錯誤地驗證提供空白密碼的使用者。

受影響的 Spring 產品和版本

  • Spring Security 3.2.0 至 3.2.1
  • Spring Security 3.1.0 至 3.1.5

緩解措施

受影響版本的使用者應採取以下緩解措施

  • 3.2.x 的使用者應升級到 3.2.2 或更高版本
  • 3.1.x 的使用者應升級到 3.1.6 或更高版本

歸功

此問題由 Spring 開發團隊發現。

參考資料

歷史紀錄

2014-Mar-11:發布初始漏洞報告

  • 2014-Mar-11:更正受影響的版本,新增 3.1.0 至 3.1.5
  • 2014-Jun-19:新增 3.1.x 使用者的緩解措施

報告漏洞

若要報告 Spring 產品組合中的專案安全性漏洞,請參閱安全性政策

搶先一步

VMware 提供培訓和認證,以加速您的進度。

了解更多

取得支援

Tanzu Spring 在一個簡單的訂閱中提供 OpenJDK™、Spring 和 Apache Tomcat® 的支援和二進位檔案。

了解更多

即將到來的活動

查看 Spring 社群中所有即將到來的活動。

查看全部