領先一步
VMware 提供培訓和認證,以加速您的進度。
了解更多Spring Security 安全性公告
CVE-2017-8028:使用 userSearch 和 STARTTLS 的 Spring-LDAP 驗證允許使用任意密碼進行驗證
描述
當連接到某些 LDAP 伺服器時,當未繫結其他屬性時,且當使用具有 org.springframework.ldap.core.support.DefaultTlsDirContextAuthenticationStrategy 作為驗證策略的 LDAP BindAuthenticator 並設定 userSearch 時,如果使用者名稱正確,則允許使用任意密碼進行驗證。發生這種情況的原因是某些 LDAP 供應商需要顯式操作才能使 LDAP 繫結生效。
受影響的 Spring 產品和版本
- Spring-LDAP 版本 1.3.0 - 2.3.1
緩解措施
受影響版本的用戶應採取以下緩解措施
- 升級到 Spring-LDAP 版本 2.3.2.RELEASE+
鳴謝
此漏洞由 Tobias Schneider 負責地報告。
參考資料
- https://github.com/spring-projects/spring-ldap/pull/432
- https://github.com/spring-projects/spring-ldap/issues/430
歷史
2017-10-16:發布初始漏洞報告
報告漏洞
要報告 Spring 產品組合中專案的安全性漏洞,請參閱安全性政策