描述

Spring Security 在处理安全约束时不考虑 URL 路径参数。 通过添加带有特殊编码的 URL 路径参数，攻击者可能能够绕过安全约束。此问题的根本原因是 Servlet 规范中处理路径参数的方式不够明确（见下文）。一些 Servlet 容器在 getPathInfo() 返回的值中包含路径参数，而另一些则不包含。 Spring Security 使用 getPathInfo() 返回的值作为将请求映射到安全约束的过程的一部分。 在这种特定攻击中，路径参数中使用的不同字符编码允许绕过受保护的 Spring MVC 静态资源 URL。

受影响的 Spring 产品和版本

• Spring Security
  • 4.1.0 - 4.1.4
  • 4.2.0 - 4.2.3
  • 5.0.0
• Spring Framework
  • 5.0.0 - 5.0.2
  • 4.3.0 - 4.3.13
• 旧的、未维护的 Spring Security 和 Spring Framework 版本未经过分析，可能受到影响

缓解措施

受影响版本的用户应应用以下缓解措施

• Spring Security
  • 5.0.x 用户应更新到 5.0.1
  • 4.2.x 用户应更新到 4.2.4
  • 4.1.x 用户应更新到 4.1.5
• Spring Framework
  • 5.0.x 用户应更新到 5.0.3
  • 4.3.x 用户应更新到 4.3.14

作为一般预防措施，建议用户分离公共和私有资源。 例如，分离静态资源并将它们映射到 /resources/public/** 和 /resources/private/** 比拥有一个公共根目录并混合公共和私有资源内容要好。

鸣谢

该问题由 NTT Comware、NTT DATA Corporation 和 NTT 的 Macchinetta Framework Development Team 发现，并负责任地报告给 Pivotal。

历史记录

2018-01-29：发布初始漏洞报告