领先一步
VMware 提供培训和认证,以加速您的进步。
了解更多CVE-2013-6429 修复 Spring Framework 中 XML 外部实体 (XXE) 注入漏洞 (CVE-2013-7315) 不完整
描述
Spring MVC 的 SourceHttpMessageConverter 也处理用户提供的 XML,既没有禁用 XML 外部实体,也没有提供禁用它们的选项。 SourceHttpMessageConverter 已被修改为提供控制 XML 外部实体处理的选项,并且该处理现在默认禁用。 随后发现此修复也不完整 (CVE-2014-0054)。
受影响的 Spring 产品和版本
- Spring MVC 3.0.0 至 3.2.4
- Spring MVC 4.0.0.M1-4.0.0.RC1
- 早期不受支持的版本可能受影响
缓解措施
受影响版本的用户应应用以下缓解措施
- 3.x 的用户应升级到 3.2.5 或更高版本
- 4.x 的用户应升级到 4.0.0 或更高版本 (这也在 4.0.0-RC2 中修复,但建议用户使用 4.0.0 或更高版本)
- 要完全缓解此问题(包括 CVE-2014-0054),3.x 的用户应升级到 3.2.8 或更高版本,4.x 的用户应升级到 4.0.2 或更高版本。
鸣谢
此问题由 Spring 开发团队发现。
参考
历史
2014-Jan-15:初始漏洞报告。
- 2014-Jun-19:更新以反映将 CVE-2013-4152 拆分为 CVE-2013-4152 和 CVE-2013-7315。 添加了关于其他漏洞报告的信息,该报告表明此修复不完整。
报告漏洞
要报告 Spring 产品组合中项目的安全漏洞,请参阅安全策略