金沙js1996

js1996官网登录

  • 基础设施安全

    基础设施安全
  • 数据安全

    数据安全
  • 云计算安全

    云计算安全
  • 工业互联网安全

    工业互联网安全
  • 物联网安全

    物联网安全
  • 信息技术应用创新

    信息技术应用创新
  • 全部产品

    全部产品
  • 全部解决方案

    全部解决方案

基础设施安全


  • 政府

    政府
  • 运营商

    运营商
  • 金融

    金融
  • 能源

    能源
  • 交通

    交通
  • 企业

    企业
  • 科教文卫

    科教文卫

返回列表

CVE-2018-1270:spring-messaging模块远程代码执行漏洞

2018-04-12

发布者:js1996官网登录

综述

Pivotal Spring官方发布安全公告,Spring框架中存在三个漏洞其中编号为CVE-2018-1270的漏洞可导致远程代码执行。在引入且使用spring-messaging组件时攻击者可通过WebSocket向服务器端发送携带有恶意代码的STOMP报文,直接获取服务器控制权限。


Pivotal Spring官方4月9日对之前发布的公告进行了部分修订,受CVE-2018-1270漏洞影响的版本修订为Spring Framework 4.3.15及5.0.4。


详情请参考如下链接:

https://pivotal.io/security/cve-2018-1275


漏洞影响

目前已知受影响的Pivotal产品及版本为:

  • Spring Framework 5.0 to 5.0.4
  • Spring Framework 4.3 to 4.3.15
  • 早期官方已不支持的版本

不受影响的版本为:

  • Spring Framework 5.0.5 to 5.0.6
  • Spring Framework 4.3.16 to 4.3.17


影响排查

漏洞产生于spring-messaging组件,对于使用Spring框架的应用系统,首先排查是否引入了spring-messaging组件并实现STOMP消息传送功能,查看Spring Framework的版本是否在受影响范围内。

在应用系统中直接查看Maven/Gradle中引入的Spring Framework版本,如:


org.springframeworkspring-context5.0.4.RELEASE


解决建议

Pivotal Spring官方已经在新版本中对爆出的漏洞进行了修复,受漏洞影响的用户请尽快升级框架版本。

Spring官方地址:

https://projects.spring.io/spring-framework/

开发人员可通过配置Maven或者Gradle的方式,升级框架并编译发布。

Maven配置

org.springframeworkspring-context5.0.5.RELEASE

Gradle配置

dependencies { compile 'org.springframework:spring-context:5.0.5.RELEASE' }



漏洞简析

spring-messaging模块实现STOMP(Simple Text-Orientated Messaging Protocol)协议,通过WebSocket进行STOMP报文的数据交互。攻击者可以通过建立WebSocket连接并发送一条消息造成远程代码执行。



<<上一篇

Auth0平台身份验证绕过漏洞 (CVE-2018-6873,CVE-2018-6874)

>>下一篇

Adobe 4月安全更新

您的联系方式

*姓名
*单位名称
*联系方式
*验证码
提交到邮箱

购买热线

  • 购买咨询:

    400-818-6868-1

提交项目需求

欢迎加入js1996官网登录,成为我们的合作伙伴!
  • *请描述您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方式
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *城市
  • *行业
  • *验证码
  • 提交到邮箱

服务支持

智能客服
智能客服
购买/售后技术问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
js1996官网登录社区
js1996官网登录社区
资料下载|在线问答|技术交流
微博
微博

微博

微信
微信

微信

B站
B站

B站

抖音
抖音

抖音

视频号
视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

© 2024 NSFOCUS js1996官网登录 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号

XML 地图