描述

Spring Security 5.3.x 版（5.3.2 之前）、5.2.x 版（5.2.4 之前）、5.1.x 版（5.1.10 之前）、5.0.x 版（5.0.16 之前）和 4.2.x 版（4.2.16 之前）在使用可查詢文字加密器的實作中，對 CBC 模式使用固定的空初始化向量。擁有使用此類加密器加密之資料存取權的惡意使用者，可能能夠使用字典攻擊推導出未加密的值。

受影響的 Spring 產品和版本

• Spring Security
  • 5.3.x 版（5.3.2 之前）
  • 5.2.x 版（5.2.4 之前）
  • 5.1.x 版（5.1.10 之前）
  • 5.0.x 版（5.0.16 之前）
  • 4.2.x 版（4.2.16 之前）

緩解措施

所有使用者都應停止使用 Encryptors#queryableText(CharSequence, CharSequence) 方法，並依賴其資料儲存區來查詢加密資料。使用者應執行下列升級，因為此方法已在較新版本的 Spring Security 中被棄用。舊版本應升級到支援的分支。已修復此問題的版本包括

• Spring Security
  • 5.3.2
  • 5.2.4
  • 5.1.10
  • 5.0.16
  • 4.2.16

鳴謝

此問題由 ForgeRock 的 Neil Madden 識別並負責地回報。

參考資料

• https://cwe.mitre.org/data/definitions/329.html

歷史紀錄

• 2020-05-07：發布初步漏洞報告。