說明

ActiveDirectoryLdapAuthenticator 不檢查密碼長度。如果目錄允許匿名繫結，則可能會錯誤地驗證提供空白密碼的使用者。

受影響的 Spring 產品與版本

• Spring Security 3.2.0 至 3.2.1
• Spring Security 3.1.0 至 3.1.5

緩解措施

受影響版本的用戶應套用以下緩解措施

• 3.2.x 的使用者應升級至 3.2.2 或更高版本
• 3.1.x 的使用者應升級至 3.1.6 或更高版本

致謝

此問題由 Spring 開發團隊發現。

參考資料

• https://jira.springsource.org/browse/SEC-2500
• https://github.com/spring-projects/spring-security/commit/88559882e967085c47a7e1dcbc4dc32c2c796868
• https://github.com/spring-projects/spring-security/commit/7dbb8e777ece8675f3333a1ef1cb4d6b9be80395
• …

說明

當程式設計師未指定 Spring 表單上的動作時，Spring 會自動使用請求的 URI 填入動作欄位。攻擊者可以利用此漏洞將惡意內容注入表單。

受影響的 Spring 產品與版本

• Spring MVC 3.0.0 至 3.2.7
• Spring MVC 4.0.0 至 4.0.1
• 早期不受支援的版本可能也受到影響

緩解措施

受影響版本的用戶應套用以下緩解措施

• 3.x 的使用者應升級至 3.2.8 或更高版本
• 4.x 的使用者應升級至 4.0.2 或更高版本

致謝

此問題由 CAaNES LLC 的 Paul Wowk 發現並負責地向 Pivotal 安全團隊報告。

參考資料

• https://jira.springsource.org/browse/SPR-11426
• https://github.com/spring-projects/spring-framework/commit/741b4b229ae032bd17175b46f98673ce0bd2d485
• https://github.com/spring-projects/spring-framework/commit…

說明

Spring MVC 的 SourceHttpMessageConverter 也處理使用者提供的 XML，既未停用 XML 外部實體，也未提供停用它們的選項。SourceHttpMessageConverter 已修改為提供控制 XML 外部實體處理的選項，且該處理預設為停用。隨後發現此修復也不完整 (CVE-2014-0054)。

受影響的 Spring 產品與版本

• Spring MVC 3.0.0 至 3.2.4
• Spring MVC 4.0.0.M1-4.0.0.RC1
• 早期不受支援的版本可能也受到影響

緩解措施

受影響版本的用戶應套用以下緩解措施

• 3.x 的使用者應升級至 3.2.5 或更高版本
• 4.x 的使用者應升級至 4.0.0 或更高版本 (4.0.0-RC2 也已修復此問題，但建議使用者使用 4.0.0 或更高版本)
• 為了完全緩解此問題 (包括 CVE-2014-0054)，3.x 的使用者應升級至 3.2.8 或更高版本，而 4.x 的使用者應升級至 4.0.2 或更高版本。

致謝

此問題由 Spring 開發團隊發現。

參考資料

• https://jira.springsource.org/browse/SPR-11078

歷史記錄

2014-Jan-15：初始漏洞報告。

• 2014-Jun-19：更新以反映 CVE-2013-4152 分割為 CVE-2013-4152 和 CVE-2013-7315。新增關於其他漏洞報告的資訊，該報告指出此修復不完整。
…

說明

JavaScriptUtils.javaScriptEscape() 方法未逸出在 JS 單引號字串、JS 雙引號字串或 HTML script data 環境中敏感的所有字元。在大多數情況下，這會導致無法利用的語法錯誤，但在某些情況下，可能會導致 XSS 漏洞。

受影響的 Spring 產品與版本

• Spring MVC 3.0.0 至 3.2.1
• 早期不受支援的版本可能也受到影響

緩解措施

受影響版本的用戶應套用以下緩解措施

• 3.x 的使用者應升級至 3.2.2 或更高版本

致謝

此問題最初由 Jon Passki 向 Spring Framework 開發人員報告，而安全影響由 Arun Neelicattu 提請 Pivotal 安全團隊注意。

…

說明

當使用 JAXB 解組器時，Spring OXM 包裝器未公開任何用於停用實體解析的屬性。傳遞至解組器的實作來源有四種可能：DOMSource、StAXSource、SAXSource 和 StreamSource。

對於 DOMSource，XML 已由使用者程式碼剖析，且該程式碼負責防範 XXE。

對於 StAXSource，XMLStreamReader 已由使用者程式碼建立，且該程式碼負責防範 XXE。

對於 SAXSource 和 StreamSource 實例，Spring 預設處理外部實體，因此產生此漏洞。

此問題已透過預設停用外部實體處理並新增選項來解決，以便需要從信任來源處理 XML 時使用此功能的使用者使用。

受影響的 Spring 產品與版本

• 3.0.0 至 3.2.3
• 4.0.0.M1
• 早期不受支援的版本可能也受到影響

緩解措施

受影響版本的用戶應套用以下緩解措施

• 3.x 的使用者應升級至 3.2.4 或更高版本
• 4.x 的使用者應升級至 4.0.0.M2 或更高版本

致謝

這些問題由 HP Enterprise Security Team 的 Alvaro Munoz 發現。

參考資料

• https://github.com/SpringSource/spring-framework/pull/317

歷史記錄

2013-Aug-22：初始…

說明

已確定 Spring MVC 結合 StAX XMLInputFactory 使用 JAXB 處理使用者提供的 XML，但未停用外部實體解析。在這種情況下已停用外部實體解析。隨後發現此修復不完整 (CVE-2013-6429、CVE-2014-0054)。

受影響的 Spring 產品與版本

• 3.2.0 至 3.2.3
• 4.0.0.M1-4.0.0.M2 (Spring MVC)
• 早期不受支援的版本可能也受到影響

緩解措施

受影響版本的用戶應套用以下緩解措施

• 3.x 的使用者應升級至 3.2.4 或更高版本
• 4.x 的使用者應升級至 4.0.0.RC1 或更高版本
• 為了完全緩解此問題 (包括 CVE-2013-6429 和 CVE-2014-0054)，3.x 的使用者應升級至 3.2.8 或更高版本，而 4.x 的使用者應升級至 4.0.2 或更高版本。

致謝

這些問題由 HP Enterprise Security Team 的 Alvaro Munoz 發現。

參考資料

• https://jira.springsource.org/browse/SPR-10806

歷史記錄

2013-Aug-22：初始漏洞…