描述

此 CVE 解決了 Spring Framework 4.3.x 分支中 CVE-2018-1270 的部分修正。

Spring Framework 的 5.0.x 版本 (早於 5.0.5) 和 4.3.x 版本 (早於 4.3.16)，以及較舊且不受支援的版本，允許應用程式透過 spring-messaging 模組，使用簡單的記憶體內 STOMP 代理程式公開透過 WebSocket 端點的 STOMP。惡意使用者（或攻擊者）可以製作發送到代理程式的訊息，導致遠端程式碼執行攻擊。

受影響的 Spring 產品和版本

• Spring Framework 5.0 至 5.0.4
• Spring Framework 4.3 至 4.3.15
• 較舊且不受支援的版本也受影響

緩解措施

受影響版本的使用者應採取以下緩解措施

• 5.0.x 使用者應升級到 5.0.5
• 4.3.x 使用者應升級到 4.3.16
• 較舊的版本應升級到受支援的分支

沒有其他必要的緩解步驟。

請注意，針對訊息使用身份驗證和授權（這兩者均由 Spring Security 提供）會將此漏洞的暴露限制在授權使用者。

致謝

最初的問題 CVE-2018-1270 由 Micro Focus Fortify 的 Alvaro Muñoz (@pwntester) 負責地識別和報告。隨後的 CVE-2018-1275 部分修復由 rwx、Christoph Dreis 和 360 观星实验室的 0c0c0f 獨立識別和負責地報告。

參考資料

• CVE-2018-1270
• 範例 https://spring-docs.dev.org.tw/spring/docs/current/spring-framework-reference/web.html#websocket-stomp-enable'>STOMP over WebSocket 配置，其中啟用了簡單的代理程式。
• https://spring-docs.dev.org.tw/spring-security/site/docs/5.0.3.RELEASE/reference/htmlsingle/#websocket'>Spring Security WebSocket 支援文件。

歷史記錄

2018-04-09：發布初步漏洞報告

• 2018-04-10：更新了致謝部分，以列出 CVE-2018-1275 的報告者
• 2018-04-13：使用來自 360 观星实验室的 0c0c0f 更新了致謝部分