抢先一步
VMware 提供培训和认证,以加速您的进度。
了解更多CVE-2014-0097 空密码可能绕过用户身份验证
描述
ActiveDirectoryLdapAuthenticator 不检查密码长度。 如果目录允许匿名绑定,则它可能会错误地验证提供空密码的用户。
受影响的 Spring 产品和版本
- Spring Security 3.2.0 到 3.2.1
- Spring Security 3.1.0 到 3.1.5
缓解措施
受影响版本的用户应采取以下缓解措施
- 3.2.x 的用户应升级到 3.2.2 或更高版本
- 3.1.x 的用户应升级到 3.1.6 或更高版本
贡献
此问题由 Spring 开发团队发现。
参考
- https://jira.springsource.org/browse/SEC-2500
- https://github.com/spring-projects/spring-security/commit/88559882e967085c47a7e1dcbc4dc32c2c796868
- https://github.com/spring-projects/spring-security/commit/7dbb8e777ece8675f3333a1ef1cb4d6b9be80395
- https://github.com/spring-projects/spring-security/commit/a7005bd74241ac8e2e7b38ae31bc4b0f641ef973
历史
2014-Mar-11:发布初始漏洞报告
- 2014-Mar-11:更正受影响的版本以添加 3.1.0 到 3.1.5
- 2014-Jun-19:为 3.1.x 用户添加缓解措施
报告漏洞
要报告 Spring 组合中的项目的安全漏洞,请参阅安全策略