领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2014-0097 在 Spring Security 3.2.2 和 3.1.6 中已修复
Spring Security 3.2.2(变更日志)和 3.1.6(变更日志)已发布,并可在 Maven Central 中获取。
其中一项重要更新是,这两个版本修复了 CVE-2014-0097,该漏洞允许恶意用户冒充一个密码为空的用户,前提是满足以下所有条件:
- 应用程序使用 ActiveDirectoryLdapAuthenticator
- 目录允许匿名绑定(不推荐)
注意:这不会影响 LdapAuthenticationProvider 或 <ldap-authentication-provider> 的用户。
有关发布的完整详情,请参阅前面提到的变更日志。