Spring Security 安全公告

所有公告

CVE-2017-8045:spring-amqp 中的遠端程式碼執行漏洞

| 2017 年 9 月 19 日 | CVE-2017-8045

說明

在受影響的 Spring AMQP 版本中,當 org.springframework.amqp.core.Message 被轉換為字串時,可能會不安全地被反序列化。 惡意的 payload 可能被精心設計來利用此漏洞,並啟用遠端程式碼執行攻擊。

受影響的 Spring 產品和版本

  • Spring AMQP 版本低於 1.7.4、1.6.11 和 1.5.7

緩解措施

受影響版本的使用者應採取以下緩解措施

  • 已修復此問題的版本包括
    • Spring AMQP:2.0.0、1.7.4、1.6.11、1.5.7

鳴謝

此漏洞由 Semmle 的 Man Yue Mo 和 lgtm.com 負責地回報。

參考資料

歷史紀錄

2017-09-19:發布初始漏洞報告

回報漏洞

若要回報 Spring 產品組合中專案的安全漏洞,請參閱安全策略

領先一步

VMware 提供訓練和認證,以加速您的進度。

瞭解更多

取得支援

Tanzu Spring 在一個簡單的訂閱中提供 OpenJDK™、Spring 和 Apache Tomcat® 的支援和二進位檔。

瞭解更多

即將舉行的活動

查看 Spring 社群中所有即將舉行的活動。

檢視全部