描述

Spring Framework 5.0.x 版本低于 5.0.6 和 4.3.x 版本低于 4.3.17，以及更旧的不受支持的版本允许应用程序通过 spring-messaging 模块使用简单的内存 STOMP 代理公开 STOMP over WebSocket 端点。恶意用户（或攻击者）可以构造一条消息发送到代理，从而导致正则表达式拒绝服务攻击。

此漏洞会暴露满足以下所有要求的应用程序

• 依赖 spring-messaging 和 spring-websocket 模块。
• 注册 STOMP over WebSocket 端点。
• 启用简单的 STOMP 代理。

受影响的 Spring 产品和版本

• Spring Framework 5.0 到 5.0.5
• Spring Framework 4.3 到 4.3.16
• 较旧的不受支持的版本也受到影响

缓解措施

受影响版本的用户应应用以下缓解措施

• 5.0.x 用户应升级到 5.0.6。
• 4.3.x 用户应升级到 4.3.17。
• 旧版本应升级到受支持的分支。

没有其他必要的缓解步骤。

请注意，对消息使用身份验证和授权（这两者均由 Spring Security 提供）会将此漏洞暴露给授权用户。

鸣谢

此问题由 Recruit Technologies Co., Ltd. 的 Muneaki Nishimura (nishimunea) 发现并负责任地报告。

参考

• 示例 https://docs.springframework.org.cn/spring/docs/current/spring-framework-reference/web.html#websocket-stomp-enable'>STOMP over WebSocket 配置，其中启用了简单代理。
• https://docs.springframework.org.cn/spring-security/site/docs/5.0.3.RELEASE/reference/htmlsingle/#websocket'>Spring Security WebSocket 支持文档。

历史

2018-05-09：发布初始漏洞报告