Spring Security 安全公告

RSS 订阅

CVE-2017-8028:使用 userSearch 和 STARTTLS 的 Spring-LDAP 身份验证允许使用任意密码进行身份验证

| 2017 年 10 月 16 日 | CVE-2017-8028

描述

当连接到某些 LDAP 服务器时,当没有绑定其他属性时,并且当使用带有 org.springframework.ldap.core.support.DefaultTlsDirContextAuthenticationStrategy 作为身份验证策略的 LDAP BindAuthenticator 并设置 userSearch 时,如果用户名正确,则允许使用任意密码进行身份验证。 发生这种情况是因为某些 LDAP 供应商需要显式操作才能使 LDAP 绑定生效。

受影响的 Spring 产品和版本

  • Spring-LDAP 版本 1.3.0 - 2.3.1

缓解措施

受影响版本的用户应应用以下缓解措施

  • 升级到 Spring-LDAP 版本 2.3.2.RELEASE+

鸣谢

此漏洞由 Tobias Schneider 负责任地报告。

参考

历史

2017-10-16:发布初始漏洞报告

报告漏洞

要报告 Spring 产品组合中的项目的安全漏洞,请参阅安全策略

领先一步

VMware 提供培训和认证,以加速您的进步。

了解更多

获得支持

Tanzu Spring 在一个简单的订阅中提供 OpenJDK™、Spring 和 Apache Tomcat® 的支持和二进制文件。

了解更多

即将到来的活动

查看 Spring 社区中所有即将举行的活动。

查看全部