領先一步
VMware 提供培訓和認證,加速您的進度。
了解更多Spring Security 安全公告
CVE-2014-3578 Spring Framework 中的目錄遍歷漏洞
描述
某些 URL 在使用前未正確清理,導致攻擊者可以取得檔案系統上的任何檔案,這些檔案也可供 Spring Web 應用程式運行的進程存取。
受影響的 Spring 產品和版本
- 4.0.0 至 4.0.4
- 3.2.0 至 3.2.8
- 已知 3.1.1 受到影響
- 其他不受支援的版本可能也受到影響
緩解措施
受影響版本的用戶應採取以下緩解措施
- 3.x 的用戶應升級至 3.2.9 或更高版本
- 4.x 的用戶應升級至 4.0.5 或更高版本
鳴謝
此問題由 Mitsui Bussan Secure Directions, Inc. 的 Takeshi Terada 發現,並透過 JPCERT/CC 回報給 Pivotal。RedHat Security Team 的 Arun Babu Neelicattu 發現有其他版本受到影響。
參考資料
歷史
2014-Sep-05: 發布初始漏洞報告。
- 2014-Nov-26: 更新受影響的版本,加入其他版本。
回報漏洞
要回報 Spring 產品組合中的專案的安全漏洞,請參閱安全政策