描述

提供给 ResourceServlet 的路径未经过适当的清理，因此暴露于目录遍历攻击。

受影响的 Spring 产品和版本

• Spring Framework 4.3.0 到 4.3.4
• Spring Framework 4.2.0 到 4.2.8
• Spring Framework 3.2.0 到 3.2.17
• 较旧的不受支持的版本也受到影响

缓解措施

受影响版本的用户应应用以下缓解措施

• 4.3.x 用户应升级到 4.3.5
• 4.2.x 用户应升级到 4.2.9
• 3.2.x 用户应升级到 3.2.18

请注意，很少有应用程序会使用 ResourceServlet。自从 3.0 版本（大约 2009 年）以来，它通常已被 ResourceHttpRequestHandler 和相关类取代，这些类默认使用，并提供更高级的功能，请参阅参考文档中的“Serving Resources”。 ResourceServlet 现在在 3.2.x 和 4.x 中已弃用，并从版本 5 开始完全删除。

鸣谢

该问题由 NTT DATA Corporation 的 Shumpei Asahara 和 Yuji Ito 发现，并负责任地报告给 Pivotal。

参考

• https://github.com/spring-projects/spring-framework/commit/e2d6e709c3c65a4951eb096843ee75d5200cfcad'>4.3.x 分支中的提交
• https://github.com/spring-projects/spring-framework/commit/43bf008fbcd0d7945e2fcd5e30039bc4d74c7a98'>4.2.x 分支中的提交
• https://github.com/spring-projects/spring-framework/commit/a7dc48534ea501525f11369d369178a60c2f47d0'>3.2.s 分支中的提交
• https://jira.spring.io/browse/SPR-14946'>https://jira.spring.io/browse/SPR-14946>

历史记录

2016-12-21：发布初始漏洞报告