領先一步
VMware 提供培訓和認證,以加速您的進度。
了解更多Spring Security 安全性公告
CVE-2019-3795:使用由 Spring Security 建構的 SecureRandom 實例時,存在不安全的隨機性
描述
Spring Security 4.2.x 版本(早於 4.2.12)、5.0.x 版本(早於 5.0.12)和 5.1.x 版本(早於 5.1.5)在使用 SecureRandomFactoryBean#setSeed 來配置 SecureRandom 實例時,存在不安全的隨機性漏洞。為了受到影響,誠實的應用程式必須提供種子,並使產生的隨機資料可供攻擊者檢查。
受影響的 Spring 產品和版本
- Spring Security 4.2 至 4.2.11
- Spring Security 5.0 至 5.0.11
- Spring Security 5.1 至 5.1.4
緩解措施
受影響版本的用戶應採取以下緩解措施
- 4.2.x 用戶應升級至 4.2.12
- 5.0.x 用戶應升級至 5.0.12
- 5.1.x 用戶應升級至 5.1.5
致謝
此問題由 Thijs Alkemade 發現並負責任地報告。
歷史記錄
2019-04-02:發布初始漏洞報告。
報告漏洞
要報告 Spring 產品組合中專案的安全性漏洞,請參閱安全性政策