領先一步
VMware 提供訓練和認證,可加速您的進度。
了解更多Spring Security 安全性建議
CVE-2014-0225:使用 Spring MVC 時的 XML 外部實體 (XXE) 注入
描述
在處理使用者提供的 XML 文件時,Spring Framework 預設未停用 DTD 宣告中 URI 參照的解析。 這導致了 XXE 攻擊。
受影響的 Spring 產品和版本
- Spring MVC 3.0.0 到 3.2.8
- Spring MVC 4.0.0 到 4.0.4
- 更早的不支援版本可能也會受到影響
緩解措施
受影響版本的用戶應採取以下緩解措施
- 3.x 的用戶應升級到 3.2.9 或更高版本
- 4.x 的用戶應升級到 4.0.5 或更高版本
致謝
此問題由 Nebula (XIAOBAISHAN,CHIBI,HUBEI.CN) HelloWorld 安全團隊、DBappsecurity.com 安全團隊負責地發現並報告給 Pivotal 安全團隊。 RedHat 安全團隊的 David Jorm 提供了進一步的資訊,展示了如何進行完整的 XXE 攻擊。
參考資料
- https://jira.spring.io/browse/SPR-11768
- https://github.com/spring-projects/spring-framework/commit/8e096aeef55287dc829484996c9330cf755891a1
- https://github.com/spring-projects/spring-framework/commit/c6503ebbf7c9e21ff022c58706dbac5417b2b5eb
歷史記錄
2014-05-28:發布初始漏洞報告。
- 2014-09-05:更新以新增完整的 XXE 攻擊是可能的,並因此將嚴重性從中等提高到重要。
報告漏洞
若要報告 Spring 產品組合中專案的安全性漏洞,請參閱安全性政策