抢先一步
VMware 提供培训和认证,以加速您的进步。
了解更多Spring Security 安全公告
CVE-2014-0097 空密码可能绕过用户身份验证
描述
ActiveDirectoryLdapAuthenticator 不会检查密码长度。如果目录允许匿名绑定,则它可能会错误地验证提供空密码的用户。
受影响的 Spring 产品和版本
- Spring Security 3.2.0 到 3.2.1
- Spring Security 3.1.0 到 3.1.5
缓解措施
受影响版本的使用者应应用以下缓解措施
- 3.2.x 的使用者应升级到 3.2.2 或更高版本
- 3.1.x 的使用者应升级到 3.1.6 或更高版本
鸣谢
此问题由 Spring 开发团队发现。
参考资料
- https://jira.springsource.org/browse/SEC-2500
- https://github.com/spring-projects/spring-security/commit/88559882e967085c47a7e1dcbc4dc32c2c796868
- https://github.com/spring-projects/spring-security/commit/7dbb8e777ece8675f3333a1ef1cb4d6b9be80395
- https://github.com/spring-projects/spring-security/commit/a7005bd74241ac8e2e7b38ae31bc4b0f641ef973
历史
2014 年 3 月 11 日:发布初始漏洞报告
- 2014 年 3 月 11 日:受影响的版本已更正,以添加 3.1.0 到 3.1.5
- 2014 年 6 月 19 日:添加 3.1.x 使用者的缓解措施
报告漏洞
要报告 Spring 产品组合中项目的安全漏洞,请参阅安全策略