描述

Java SockJS 客户端中的会话 ID 生成不够安全，可能允许用户向另一个用户的会话发送消息。

请注意，这仅影响使用 Java SockJS 客户端（该客户端生成自己的会话 ID）的用户。 它不会影响浏览器客户端，即使它们连接到同一服务器。

此外，由于 SockJS 是传输层，当在顶部使用更高级别的消息传递协议（例如通过 spring-messaging 模块的 WebSocket 上的 STOMP）时，应用程序级别的安全性可能已经应用于 STOMP 消息，这可以抵消任何潜在攻击的影响。

受影响的 Spring 产品和版本

• Spring Framework 4.1.0 到 4.1.4

缓解措施

受影响版本的用户应应用以下缓解措施

• 4.1.x 的用户应升级到 4.1.5 或更高版本

致谢

Philippe Arteau 发现了该问题并负责任地报告给了 Pivotal。

参考

• https://github.com/spring-projects/spring-framework/commit/dc5b5ca8ee09c890352f89b2dae58bc0132d6545
• https://github.com/spring-projects/spring-framework/commit/d63cfc8eebc396be009e733a81ebb4c984811f6e

历史

2015-Mar-06：发布了初始漏洞报告。