描述

Spring Framework 5.0.x 版本低於 5.0.6 以及 4.3.x 版本低於 4.3.17，以及較舊的不支援版本允許應用程式透過 spring-messaging 模組，以簡單的記憶體內 STOMP 代理程式公開 STOMP over WebSocket 端點。惡意使用者（或攻擊者）可以製作訊息傳送給代理程式，導致正規表示式阻斷服務攻擊。

此漏洞會暴露符合以下所有需求的應用程式：

• 依賴 spring-messaging 和 spring-websocket 模組。
• 註冊 STOMP over WebSocket 端點。
• 啟用簡單的 STOMP 代理程式。

受影響的 Spring 產品和版本

• Spring Framework 5.0 至 5.0.5
• Spring Framework 4.3 至 4.3.16
• 較舊的不支援版本也受影響

緩解措施

受影響版本的用戶應套用以下緩解措施：

• 5.0.x 用戶應升級到 5.0.6。
• 4.3.x 用戶應升級到 4.3.17。
• 較舊的版本應升級到受支援的分支。

不需要其他緩解步驟。

請注意，使用訊息的身份驗證和授權（Spring Security 提供），將此漏洞的暴露限制在已授權的使用者。

致謝

此問題由 Recruit Technologies Co., Ltd. 的 Muneaki Nishimura (nishimunea) 負責識別並報告。

參考

• 範例 STOMP over WebSocket 配置，其中啟用了簡單的代理程式。
• Spring Security WebSocket 支援文件。

歷史

2018-05-09：發布初始漏洞報告