搶先一步
VMware 提供訓練和認證,加速您的進展。
深入了解Spring Security 安全性公告
CVE-2015-0201 Java SockJS 客戶端中隨機性不足的 Session ID
說明
Java SockJS 客戶端中的 Session ID 產生方式不夠安全,可能允許使用者傳送訊息至另一個使用者的 Session。
請注意,這僅影響使用 Java SockJS 客戶端的使用者,該客戶端會產生自己的 Session ID。 即使連線至相同的伺服器,也不會影響瀏覽器客戶端。
此外,由於 SockJS 是一個傳輸層,當在更高的訊息傳輸協定 (例如在 spring-messaging 模組中使用 WebSocket 的 STOMP) 之上使用時,應用程式層級安全性可能已經應用於 STOMP 訊息,這可以抵銷任何潛在攻擊的影響。
受影響的 Spring 產品和版本
- Spring Framework 4.1.0 至 4.1.4
緩解措施
受影響版本的使用者應套用以下緩解措施
- 4.1.x 的使用者應升級至 4.1.5 或更高版本
致謝
Philippe Arteau 發現並負責任地將此問題回報給 Pivotal。
參考
- https://github.com/spring-projects/spring-framework/commit/dc5b5ca8ee09c890352f89b2dae58bc0132d6545
- https://github.com/spring-projects/spring-framework/commit/d63cfc8eebc396be009e733a81ebb4c984811f6e
歷史紀錄
2015-Mar-06:發佈初始漏洞報告。
報告漏洞
若要報告 Spring 系列專案中的安全性漏洞,請參閱安全性原則