近日,Spring Data Commons項目爆出 遠程代碼執行漏洞 ,CVE編號CVE-2018-1273,未經身份驗證的遠程惡意用戶(或攻擊者)可以提供特制的請求參數對Spring Data REST發起攻擊,包括使用基于HTTP資源的,或其他請求負載結合的Spring Data’s projection,最終可以導致遠程代碼執行攻擊。Spring Data Commons、 Spring Data REST 、 Spring Boot 不少版本受影響。Pivotal發布預警通告,相關信息如下
spring框架是什么
百度百科 ,Spring框架是由于軟件開發的復雜性而創建的。Spring使用的是基本的JavaBean來完成以前只可能由EJB完成的事情。然而,Spring的用途不僅僅限于服務器端的開發。從簡單性、可測試性和松耦合性角度而言,絕大部分Java應用都可以從Spring中受益。
- 目的:解決企業應用開發的復雜性
- 功能:使用基本的JavaBean代替EJB,并提供了更多的企業應用功能
- 范圍:任何Java應用
Spring是一個輕量級控制反轉(IoC)和面向切面(AOP)的容器框架。
CSDN ,Spring是一個開源的輕量級Java SE(Java 標準版本)/Java EE(Java 企業版本)開發應用框架,其目的是用于簡化企業級應用程序開發。應用程序是由一組相互協作的對象組成。而在傳統應用程序開發中,一個完整的應用是由一組相互協作的對象組成。所以開發一個應用除了要開發業務邏輯之外,最多的是關注如何使這些對象協作來完成所需功能,而且要低耦合、高內聚。業務邏輯開發是不可避免的,那如果有個框架出來幫我們來創建對象及管理這些對象之間的依賴關系。
Spring Data Commons是什么
Spring Data?項目的目的是為了簡化構建基于 Spring 框架應用的數據訪問計數,包括非關系數據庫、Map-Reduce 框架、云數據服務等等;另外也包含對關系數據庫的訪問支持。
Spring Data是一個用于簡化數據庫訪問,并支持云服務的開源框架。其主要目標是使得數據庫的訪問變得方便快捷,并支持map-reduce框架和云計算數據服務。此外,它還支持基于關系型數據庫的數據服務,如Oracle RAC等。對于擁有海量數據的項目,可以用Spring Data來簡化項目的開發,就如Spring Framework對JDBC、ORM的支持一樣,Spring Data會讓數據的訪問變得更加方便。Spring Data 包含多個子項目,Commons 子項目的作用是
- Commons – 提供共享的基礎框架,適合各個子項目使用,支持跨數據庫持久化
- 更多介紹:https://blog.csdn.net/chuck_kui/article/details/54879630
CVE-2018-1273漏洞概要
針對CVE-2018-1273漏洞情況,安全加整理了相關內容如下,這些內容可能來自于CVE-2018-1273涉及廠商、CVE-2018-1273漏洞信息發布組織、CVE、SecurityFocus及其它第三方組織。
CVE-2018-1273漏洞標識
- CVE ID:CVE-2018-1273
- BUGTRAQ ID:【BUGTRAQ ID】
- 漏洞涉及廠商漏洞庫ID:【漏洞涉及廠商漏洞庫ID】
- CNNVD ID:【CNNVD漏洞編號】
- 綠盟科技漏洞庫ID:【綠盟科技漏洞庫ID】
CVE-2018-1273漏洞相關鏈接
【增補中】
- 百度鏈接:https://www.baidu.com/s?wd=CVE-2018-1273
- 綠盟科技漏洞庫鏈接:http://www.nsfocus.net/vulndb/{綠盟科技漏洞庫ID}
- Pivotal官方鏈接:https://pivotal.io/security/cve-2018-1273
- 相關Github鏈接:https://github.com/spring-projects/spring-data-commons/commit/b1a20ae1e82a63f99b3afc6f2aaedb3bf4dc432a
- 相關Github鏈接:https://github.com/spring-projects/spring-data-commons/commit/ae1dd2741ce06d44a0966ecbd6f47beabde2b653
CVE-2018-1273漏洞描述
【增補中】
CVE評價該漏洞
CVE還在保留狀態
**?RESERVED?** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.
SecurityFocus評價該漏洞
Pivotal評價該漏洞
Spring Data Commons 1.13 1.13.10之前的版本,2.0版本及到2.0.5,以及更老的不支持版本,包含一個綁定器漏洞,這是由于improper neutralization of special elements引起的。未經身份驗證的遠程惡意用戶(或攻擊者)可以提供特制的請求參數對Spring Data REST發起攻擊,包括使用基于HTTP資源的,或其他請求負載結合的Spring Data’s projection,最終可以導致遠程代碼執行攻擊。
CVE-2018-1273漏洞影響范圍
CVE-2018-1273漏洞涉及廠商
Pivotal
CVE-2018-1273漏洞涉及產品
Spring Data Commons
CVE-2018-1273漏洞影響版本
Severity is critical unless otherwise noted.
- Spring Data Commons 1.13 to 1.13.10 (Ingalls SR10)
- Spring Data REST 2.6 to 2.6.10 (Ingalls SR10)
- Spring Data Commons 2.0 to 2.0.5 (Kay SR5)
- Spring Data REST 3.0 to 3.0.5 (Kay SR5)
- Older unsupported versions are also affected
CVE-2018-1273漏洞解決方案
【增補中】
Pivotal聲明
Users of affected versions should apply the following mitigation:
- 2.0.x users should upgrade to 2.0.6
- 1.13.x users should upgrade to 1.13.11
- Older versions should upgrade to a supported branch
Releases that have fixed this issue include:
- Spring Data REST 2.6.11 (Ingalls SR11)
- Spring Data REST 3.0.6 (Kay SR6)
- Spring Boot 1.5.11
- Spring Boot 2.0.1
There are no other mitigation steps necessary.
Note that the use of authentication and authorization for endpoints, both of which are provided by Spring Security, limits exposure to this vulnerability to authorized users.
{CVE-2018-1273漏洞信息發布組織}聲明
【增補中】
CVE-2018-1273漏洞安全加聲明
本頁信息用以描述CVE-2018-1273漏洞的信息,這些信息便于您對CVE-2018-1273漏洞進行快速閱讀并了解相關信息。如下信息如有空缺,則CVE-2018-1273漏洞相關內容正在增補中,如果您知悉相關內容或者如下內容有異議,可以聯系站長:安全加QQ:468215215;Weixin:gnaw0725
CVE-2018-1273漏洞相關內容
CVE-2018-1273漏洞相關漏洞
漏洞列表
CVE-2018-1273漏洞相關文章
- 2018年3月, Spring框架遠程代碼執行漏洞CVE-2018-1270 客戶端服務器STOMP通訊協議出漏洞 ,PV 756
- 2017年9月, Spring Java開發框架子項目Spring Data Rest遠程代碼執行漏洞CVE-2017-8046 ,PV 8033
- 2017年9月, Spring Java開發子項目AMQP遠程代碼執行漏洞CVE-2017-8045 ,PV 7686
- 2017年6月, Spring WebFlow 遠程代碼執行漏洞CVE-2017-4971 綠盟科技發布安全威脅通告 ,PV 5076
- 2016年7月, 綠盟科技已經啟動Spring Boot框架漏洞的應急響應 ,PV 3795