去年秋天，发现了一个影响 Spring Data REST 的安全漏洞。 我们修复了受影响的模块并发布了 CVE。 我们最近看到一些关于此的新闻导致了一些混乱。 以下是详细信息

太长不看

• Spring Data REST 直到 2.6.8 和 3.0.0 版本中存在允许任意代码执行的安全漏洞。
• 该漏洞已在以下版本中修复

-- Spring Data REST 2.6.9 (Ingalls SR9, 2017 年 10 月 27 日)，包含在 Spring Boot 1.5.9 中 (2017 年 10 月 28 日)。 -- Spring Data REST 3.0.1 (Kay SR1, 2017 年 10 月 27 日)，包含在 Spring Boot 2.0 M6 中，(2017 年 11 月 6 日)

• 该 CVE 最初于 2017 年 9 月底发布。 我们最初认为我们已经通过几天前发布的版本修复了该问题。 后续反馈表明情况并非如此，该问题最终在 2017 年 10 月/11 月得到修复。 遗憾的是，CVE 未更新以反映这一点。 团队正在努力确保不会再次发生这种更新缺失的情况。

现实情况

我们看到一些报道，其中一些细节存在错误。 让我们澄清一下

• 任何时候都从未影响过“各种 Spring 模块”。 该问题仅存在于 Spring Data REST 中。
• 当 CVE 指出受影响的 Spring Boot 版本时，这不意味着每个 Spring Boot 项目都会受到影响。 只有使用特定 Spring Data REST 模块的项目才会受到影响。 我们仅在 CVE 中说明 Spring Boot 版本，以便用户可以快速识别他们使用的 Spring Boot 版本是否包含易受攻击的 Spring Data 版本。
• 一些出版物给人一种印象，即所有使用 Spring 构建的 REST API（包括使用 Spring MVC 手动编码的 REST API）都会受到影响。 事实并非如此。 只有当你公开由 Spring Data REST 处理的 HTTP 资源时才会受到影响。

建议

我们通常建议尽快升级到各个 Spring 模块的新 bug 修复版本。 团队还非常注意协调发布，以便包含最新 bug 和安全修复程序的 Spring Boot 版本能够紧贴生态系统项目的发布时间发布。

对于安全相关的升级，请务必监控我们发布的 CVE 列表，以立即了解包含安全修复程序的版本。