抢先一步
VMware 提供培训和认证,以加速您的进步。
了解更多Spring Security 安全公告
CVE-2017-8028:Spring-LDAP 认证中使用 userSearch 和 STARTTLS 允许使用任意密码进行认证
描述
当连接到某些 LDAP 服务器时,在没有绑定其他属性的情况下,并且当使用 LDAP BindAuthenticator 并将 org.springframework.ldap.core.support.DefaultTlsDirContextAuthenticationStrategy 作为认证策略,以及设置 userSearch 时,如果用户名正确,则可以使用任意密码进行认证。 这是因为某些 LDAP 供应商需要显式操作才能使 LDAP 绑定生效。
受影响的 Spring 产品和版本
- Spring-LDAP 版本 1.3.0 - 2.3.1
缓解措施
受影响版本的使用者应采取以下缓解措施
- 升级到 Spring-LDAP 版本 2.3.2.RELEASE+
致谢
此漏洞由 Tobias Schneider 负责任地报告。
参考
- https://github.com/spring-projects/spring-ldap/pull/432
- https://github.com/spring-projects/spring-ldap/issues/430
历史记录
2017-10-16:发布初始漏洞报告
报告漏洞
要报告 Spring 产品组合中项目的安全漏洞,请参阅安全策略