Spring Security 安全公告

所有公告

此頁面列出 Spring 的安全公告。

CVE-2020-5427:Spring Cloud Data Flow 工作執行排序查詢中存在 SQL 注入的可能性

中等 | 2021 年 1 月 25 日 | CVE-2020-5427

描述

在 Spring Cloud Data Flow 中,版本 2.6.x 低於 2.6.5,版本 2.5.x 低於 2.5.4,當請求工作執行時,應用程式容易受到 SQL 注入的攻擊。

受影響的 Spring 產品和版本

  • Spring Cloud Data Flow
    • 2.6.x
    • 2.5.x

缓解措施

使用者應升級至 2.5.4 及更高版本。已修復此問題的版本包括

  • Spring Cloud Data Flow
    • 2.7.0
    • 2.6.5

CVE-2020-5428:Spring Cloud Task 執行排序查詢中存在 SQL 注入的可能性

| 2021 年 1 月 25 日 | CVE-2020-5428

描述

在使用 Spring Cloud Task 2.2.4.RELEASE 及更低版本的應用程式中,當在 TaskExplorer 中執行某些查詢時,可能容易受到 SQL 注入的攻擊。

受影響的 Spring 產品和版本

  • Spring Cloud Task
    • 2.2.4 及更低版本

缓解措施

使用者應升級至 2.2.5 及更高版本。已修復此問題的版本包括

  • Spring Cloud Task
    • 2.3.0

CVE-2020-5411:Jackson 配置允許執行帶有未知“序列化 Gadgets”的程式碼

| 2020 年 6 月 10 日 | CVE-2020-5411

描述

當配置為啟用預設類型時,Jackson 包含一個 反序列化漏洞,可能會導致任意程式碼執行。Jackson 通過將已知的“反序列化 gadgets”列入黑名單來修復此漏洞。

Spring Batch 配置 Jackson 時啟用了 全域預設類型,這意味著通過先前的漏洞,如果滿足以下所有條件,則可以執行任意程式碼

  • Spring Batch 的 Jackson 支援正被用於序列化工作的 ExecutionContext。
  • 惡意使用者獲得對 JobRepository 使用的資料儲存區的寫入權限(儲存要反序列化的資料的位置)。

為了防止此類型的攻擊,Jackson 阻止反序列化一組不受信任的 gadget 類別。Spring Batch 應該在啟用預設類型時主動阻止未知的“反序列化 gadgets”。

受影響的 Spring 產品和版本

  • Spring Batch
    • 4.0.0 到 4.0.4
    • 4.1.0 到 4.1.4
    • 4.2.0 到 4.2.2

缓解措施

受影響版本的使用者應升級到 4.2.3 或更高版本。已修復此問題的版本包括

  • Spring Batch
    • 4.2.3

信用

此問題由 Srikanth 發現並負責地報告…

CVE-2020-5403:通過 Reactor Netty HTTP Server 的格式錯誤的 URL 導致的 DoS

中等 | 2020 年 2 月 27 日 | CVE-2020-5403

描述

Reactor Netty HttpServer,版本 0.9.3 和 0.9.4,暴露於 URISyntaxException,導致連接過早關閉,而不是產生 400 響應。

受影響的 Spring 產品和版本

  • Reactor Netty
    • 0.9.3
    • 0.9.4

缓解措施

受影響版本的使用者應升級到 0.9.5 (reactor-bom Dysprosium SR-5)。不需要其他步驟。

  • Reactor Netty
    • 0.9.5

信用

此問題是…

報告漏洞

要報告 Spring 作品集中的專案的安全漏洞,請參閱安全策略

取得領先

VMware 提供培訓和認證,以加速您的進度。

了解更多

取得支援

Tanzu Spring 在一個簡單的訂閱中提供對 OpenJDK™、Spring 和 Apache Tomcat® 的支援和二進位檔案。

了解更多

即將舉行的活動

查看 Spring 社群中所有即將舉行的活動。

檢視所有