描述

Java SockJS客户端的会话ID生成不够安全，可能允许用户向其他用户的会话发送消息。

请注意，这仅影响使用Java SockJS客户端的用户，该客户端自行生成会话ID。即使浏览器客户端连接到同一服务器，也不会受到影响。

此外，由于SockJS是传输层，当在上面使用更高级别的消息传递协议（例如使用spring-messaging模块的WebSocket上的STOMP）时，应用程序级别的安全性可能已经应用于STOMP消息，这可以抵消任何潜在攻击的影响。

受影响的Spring产品和版本

• Spring Framework 4.1.0 至 4.1.4

缓解措施

受影响版本的使用者应采取以下缓解措施：

• 4.1.x 用户应升级到 4.1.5 或更高版本

致谢

Philippe Arteau 发现了这个问题并负责任地向 Pivotal 报告。

参考资料

• https://github.com/spring-projects/spring-framework/commit/dc5b5ca8ee09c890352f89b2dae58bc0132d6545
• https://github.com/spring-projects/spring-framework/commit/d63cfc8eebc396be009e733a81ebb4c984811f6e

历史

2015年3月6日：发布初始漏洞报告。