抢先一步
VMware 提供培训和认证,以加速您的进步。
了解更多CVE-2014-0054 CVE-2013-7315 / CVE-2013-6429 (XXE) 的不完整修复
描述
Spring MVC 的 Jaxb2RootElementHttpMessageConverter 也处理用户提供的 XML,并且既没有禁用 XML 外部实体,也没有提供禁用它们的选项。 Jaxb2RootElementHttpMessageConverter 已被修改为提供一个选项来控制 XML 外部实体的处理,并且该处理现在默认禁用。
受影响的 Spring 产品和版本
- Spring MVC 3.0.0 到 3.2.7
- Spring MVC 4.0.0 到 4.0.1
- 早期不受支持的版本可能受到影响
缓解措施
受影响版本的用户应采取以下缓解措施
- 3.x 的用户应升级到 3.2.8 或更高版本
- 4.x 的用户应升级到 4.0.2 或更高版本
致谢
Spase Markovski 向 Spring Framework 开发人员报告了此问题。
参考
- https://jira.springsource.org/browse/SPR-11376
- https://github.com/spring-projects/spring-framework/commit/edba32b3093703d5e9ed42b5b8ec23ecc1998398#diff-1f3f1d5cdab9ac92d1ca5ec7def8f131
- https://github.com/spring-projects/spring-framework/commit/fb0683c066e74e9667d6cd8c5fa01f674c68c3be#diff-1f3f1d5cdab9ac92d1ca5ec7def8f131
历史
2014 年 3 月 11 日:发布初始漏洞报告。
- 2014 年 6 月 19 日:更新以反映 CVE-2013-4152 分割为 CVE-2013-4152 和 CVE-2013-7315。
- 2014 年 8 月 19 日:更正受影响的版本以排除 Spring MVC 3.2.8 并包含对 3.2.x 提交的引用。
报告漏洞
要报告 Spring 产品组合中的项目的安全漏洞,请参阅安全策略