近日,Spring Data Commons项目爆出 远程代码执行漏洞 ,CVE编号CVE-2018-1273,未经身份验证的远程恶意用户(或攻击者)可以提供特制的请求参数对Spring Data REST发起攻击,包括使用基于HTTP资源的,或其他请求负载结合的Spring Data’s projection,最终可以导致远程代码执行攻击。Spring Data Commons、 Spring Data REST 、 Spring Boot 不少版本受影响。Pivotal发布预警通告,相关信息如下
spring框架是什么
百度百科 ,Spring框架是由于软件开发的复杂性而创建的。Spring使用的是基本的JavaBean来完成以前只可能由EJB完成的事情。然而,Spring的用途不仅仅限于服务器端的开发。从简单性、可测试性和松耦合性角度而言,绝大部分Java应用都可以从Spring中受益。
- 目的:解决企业应用开发的复杂性
- 功能:使用基本的JavaBean代替EJB,并提供了更多的企业应用功能
- 范围:任何Java应用
Spring是一个轻量级控制反转(IoC)和面向切面(AOP)的容器框架。
CSDN ,Spring是一个开源的轻量级Java SE(Java 标准版本)/Java EE(Java 企业版本)开发应用框架,其目的是用于简化企业级应用程序开发。应用程序是由一组相互协作的对象组成。而在传统应用程序开发中,一个完整的应用是由一组相互协作的对象组成。所以开发一个应用除了要开发业务逻辑之外,最多的是关注如何使这些对象协作来完成所需功能,而且要低耦合、高内聚。业务逻辑开发是不可避免的,那如果有个框架出来帮我们来创建对象及管理这些对象之间的依赖关系。
Spring Data Commons是什么
Spring Data 项目的目的是为了简化构建基于 Spring 框架应用的数据访问计数,包括非关系数据库、Map-Reduce 框架、云数据服务等等;另外也包含对关系数据库的访问支持。
Spring Data是一个用于简化数据库访问,并支持云服务的开源框架。其主要目标是使得数据库的访问变得方便快捷,并支持map-reduce框架和云计算数据服务。此外,它还支持基于关系型数据库的数据服务,如Oracle RAC等。对于拥有海量数据的项目,可以用Spring Data来简化项目的开发,就如Spring Framework对JDBC、ORM的支持一样,Spring Data会让数据的访问变得更加方便。Spring Data 包含多个子项目,Commons 子项目的作用是
- Commons – 提供共享的基础框架,适合各个子项目使用,支持跨数据库持久化
- 更多介绍:https://blog.csdn.net/chuck_kui/article/details/54879630
CVE-2018-1273漏洞概要
针对CVE-2018-1273漏洞情况,安全加整理了相关内容如下,这些内容可能来自于CVE-2018-1273涉及厂商、CVE-2018-1273漏洞信息发布组织、CVE、SecurityFocus及其它第三方组织。
CVE-2018-1273漏洞标识
- CVE ID:CVE-2018-1273
- BUGTRAQ ID:【BUGTRAQ ID】
- 漏洞涉及厂商漏洞库ID:【漏洞涉及厂商漏洞库ID】
- CNNVD ID:【CNNVD漏洞编号】
- 绿盟科技漏洞库ID:【绿盟科技漏洞库ID】
CVE-2018-1273漏洞相关链接
【增补中】
- 百度链接:https://www.baidu.com/s?wd=CVE-2018-1273
- 绿盟科技漏洞库链接:http://www.nsfocus.net/vulndb/{绿盟科技漏洞库ID}
- Pivotal官方链接:https://pivotal.io/security/cve-2018-1273
- 相关Github链接:https://github.com/spring-projects/spring-data-commons/commit/b1a20ae1e82a63f99b3afc6f2aaedb3bf4dc432a
- 相关Github链接:https://github.com/spring-projects/spring-data-commons/commit/ae1dd2741ce06d44a0966ecbd6f47beabde2b653
CVE-2018-1273漏洞描述
【增补中】
CVE评价该漏洞
CVE还在保留状态
** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.
SecurityFocus评价该漏洞
Pivotal评价该漏洞
Spring Data Commons 1.13 1.13.10之前的版本,2.0版本及到2.0.5,以及更老的不支持版本,包含一个绑定器漏洞,这是由于improper neutralization of special elements引起的。未经身份验证的远程恶意用户(或攻击者)可以提供特制的请求参数对Spring Data REST发起攻击,包括使用基于HTTP资源的,或其他请求负载结合的Spring Data’s projection,最终可以导致远程代码执行攻击。
CVE-2018-1273漏洞影响范围
CVE-2018-1273漏洞涉及厂商
Pivotal
CVE-2018-1273漏洞涉及产品
Spring Data Commons
CVE-2018-1273漏洞影响版本
Severity is critical unless otherwise noted.
- Spring Data Commons 1.13 to 1.13.10 (Ingalls SR10)
- Spring Data REST 2.6 to 2.6.10 (Ingalls SR10)
- Spring Data Commons 2.0 to 2.0.5 (Kay SR5)
- Spring Data REST 3.0 to 3.0.5 (Kay SR5)
- Older unsupported versions are also affected
CVE-2018-1273漏洞解决方案
【增补中】
Pivotal声明
Users of affected versions should apply the following mitigation:
- 2.0.x users should upgrade to 2.0.6
- 1.13.x users should upgrade to 1.13.11
- Older versions should upgrade to a supported branch
Releases that have fixed this issue include:
- Spring Data REST 2.6.11 (Ingalls SR11)
- Spring Data REST 3.0.6 (Kay SR6)
- Spring Boot 1.5.11
- Spring Boot 2.0.1
There are no other mitigation steps necessary.
Note that the use of authentication and authorization for endpoints, both of which are provided by Spring Security, limits exposure to this vulnerability to authorized users.
{CVE-2018-1273漏洞信息发布组织}声明
【增补中】
CVE-2018-1273漏洞安全加声明
本页信息用以描述CVE-2018-1273漏洞的信息,这些信息便于您对CVE-2018-1273漏洞进行快速阅读并了解相关信息。如下信息如有空缺,则CVE-2018-1273漏洞相关内容正在增补中,如果您知悉相关内容或者如下内容有异议,可以联系站长:安全加QQ:468215215;Weixin:gnaw0725
CVE-2018-1273漏洞相关内容
CVE-2018-1273漏洞相关漏洞
漏洞列表
CVE-2018-1273漏洞相关文章
- 2018年3月, Spring框架远程代码执行漏洞CVE-2018-1270 客户端服务器STOMP通讯协议出漏洞 ,PV 756
- 2017年9月, Spring Java开发框架子项目Spring Data Rest远程代码执行漏洞CVE-2017-8046 ,PV 8033
- 2017年9月, Spring Java开发子项目AMQP远程代码执行漏洞CVE-2017-8045 ,PV 7686
- 2017年6月, Spring WebFlow 远程代码执行漏洞CVE-2017-4971 绿盟科技发布安全威胁通告 ,PV 5076
- 2016年7月, 绿盟科技已经启动Spring Boot框架漏洞的应急响应 ,PV 3795