描述

Spring Cloud SSO Connector 2.1.2 版存在一个回归问题，该问题会禁用未绑定到 SSO 服务的资源服务器中的发行方验证。在具有多个 SSO 服务计划的 PCF 部署中，远程攻击者可以使用从另一个服务计划生成的令牌，对使用此版本的 SSO Connector 的未绑定资源服务器进行身份验证。

受影响的 Spring 产品和版本

• Spring Cloud SSO Connector 2.1.2 版

缓解措施

受影响版本的使用者应应用以下缓解措施

• 已修复此问题的版本包括：
  • Spring Cloud SSO Connector：2.1.3
• 或者，您可以执行以下一种解决方法：
  • 通过服务实例绑定将您的资源服务器绑定到 SSO 服务计划。
  • 在 Spring 应用程序属性中设置“sso.connector.cloud.available=true”。

致谢

此漏洞由 Pivotal SSO 服务团队负责任地报告。

历史

2018-04-30：发布初始漏洞报告