描述

Spring Boot 支持一个嵌入式启动脚本，可用于轻松地将应用程序作为 systemd 或 init.d linux 服务运行[1]。Spring Boot 1.5.9 及更早版本附带的脚本容易受到符号链接攻击，这允许“运行用户”覆盖并获取系统上任何文件的拥有权。

为了发起攻击，应用程序必须作为服务安装，并且“运行用户”需要对服务器的 shell 访问权限。

未作为服务安装或未使用嵌入式启动脚本的 Spring Boot 应用程序不受影响。

[1] https://docs.springframework.org.cn/spring-boot/docs/1.5.x/reference/htmlsingle/#deployment-service

受影响的 Spring 产品和版本

• Spring Boot
  • 1.5.0 - 1.5.9
  • 2.0.0.M1 - 2.0.0.M7
• 未分析 Spring Boot 的较旧的未维护版本，它们也可能受到影响。

缓解措施

受影响版本的使用者应应用以下缓解措施

• 1.5.x 用户应更新到 1.5.10
• 2.0.x 预发布用户应更新到 2.0.0.RC1

致谢

此问题由来自 Oracle 云运营英国的 Adam Stephens 发现并报告，并负责任地报告给 Pivotal。

历史记录

2018-01-30：发布初始漏洞报告