UCloud-201804-003:Spring Data Commons远程代码执行和拒绝服务漏洞安全预警
- 发布时间 2018-04-13
- 更新时间 2018-04-13
- 漏洞等级 High
- CVE编号 CVE-2018-1273 、CVE-2018-1274
漏洞详情
1) 远程代码执行漏洞(CVE-2018-1273)
Spring Data 是Spring框架中提供底层数据访问的项目模块,Spring Data Commons 是一个共用的基础模块。此模块对特殊属性处理时会使用SpEl表达式,导致攻击者可以通过构造特殊的URL请求,造成服务端远程代码执行。
2)拒绝服务漏洞(CVE-2018-1274)
Spring Data Commons模块在解析属性路径时未限制资源分配,导致攻击者可以通过消耗CPU和内存资源来进行拒绝服务攻击。
影响范围
● Pivotal Software Spring Data Commons >=1.13,<=1.13.10 (Ingalls SR10)
● Pivotal Software Spring Data Commons >=2.0,<=2.0.5 (Kay SR5)
● Pivotal Software Spring Data REST >=2.6,<=2.6.10 (Ingalls SR10)
● Pivotal Software Spring Data REST >=3.0,<=3.0.5 (Kay SR5)
修复方案
Spring Data Commons模块更新如下:
● Spring Data Commons 2.0.x 用户请升级到 2.0.6
● Spring Data Commons 1.13.x 用户请升级到 1.13.11
● 使用官方已停止支持的老版本用户,请升级到当前官方提供支持的新版本
已经修复漏洞官方版本如下:
● Spring Data REST 2.6.11 (Ingalls SR11)
● Spring Data REST 3.0.6 (Kay SR6)
● Spring Boot 1.5.11
● Spring Boot 2.0.1
参考链接
https://pivotal.io/security/cve-2018-1273
https://pivotal.io/security/cve-2018-1274
