描述

Spring Cloud SSO 連接器 2.1.2 版包含一個回歸問題，它會停用未繫結至 SSO 服務的資源伺服器中的發行者驗證。 在具有多個 SSO 服務方案的 PCF 部署中，遠端攻擊者可以使用從另一個服務方案產生的權杖，對使用此版本 SSO 連接器的未繫結資源伺服器進行身份驗證。

受影響的 Spring 產品和版本

• Spring Cloud SSO 連接器 2.1.2 版

緩解措施

受影響版本的用戶應採取以下緩解措施

• 已修復此問題的版本包括
  • Spring Cloud SSO 連接器：2.1.3
• 或者，您可以執行以下其中一個解決方法
  • 透過服務實例繫結將您的資源伺服器繫結至 SSO 服務方案
  • 在您的 Spring 應用程式屬性中設定 "sso.connector.cloud.available=true"

致謝

此漏洞由 Pivotal SSO 服務團隊負責回報。

歷史紀錄

2018-04-30：發布初始漏洞報告