領先一步
VMware 提供培訓和認證,以加速您的進度。
瞭解更多Spring Security 安全性公告
CVE-2014-3625 Spring Framework 中的目錄遍歷漏洞
描述
某些 URL 在使用前未正確清理,允許攻擊者取得檔案系統上 Spring Web 應用程式執行的程序可存取的任何檔案。
受影響的 Spring 產品和版本
- Spring Framework 3.0.4 至 3.2.11
- Spring Framework 4.0.0 至 4.0.7
- Spring Framework 4.1.0 至 4.1.1
- 其他不受支援的版本也可能受到影響
緩解措施
受影響版本的用戶應套用以下緩解措施
- 3.2.x 的用戶應升級到 3.2.12 或更高版本
- 4.0.x 的用戶應升級到 4.0.8 或更高版本
- 4.1.x 的用戶應升級到 4.1.2 或更高版本
貢獻
此問題由 NTT DATA Corporation 的 Toshiaki Maki 發現,並負責地報告給 Pivotal。
參考文獻
- https://jira.spring.io/browse/SPR-12354
- https://github.com/spring-projects/spring-framework/commit/9beae9ae4226c45cd428035dae81214439324676
- https://github.com/spring-projects/spring-framework/commit/9cef8e3001ddd61c734281a7556efd84b6cc2755
- https://github.com/spring-projects/spring-framework/commit/3f68cd633f03370d33c2603a6496e81273782601
歷史記錄
2014-Nov-11:發布初始漏洞報告。
報告漏洞
若要報告 Spring 產品組合中的專案的安全漏洞,請參閱安全性原則