描述

Spring Data Commons，1.13 到 1.13.10、2.0 到 2.0.5 之前的版本以及较旧的不受支持的版本，包含由无限资源分配导致的属性路径解析器漏洞。未经身份验证的远程恶意用户（或攻击者）可以针对 Spring Data REST 端点或使用属性路径解析的端点发出请求，从而导致拒绝服务（CPU 和内存消耗）。

受影响的 Spring 产品和版本

• Spring Data Commons 1.13 到 1.13.10 (Ingalls SR10)
• Spring Data REST 2.6 到 2.6.10 (Ingalls SR10)
• Spring Data Commons 2.0 到 2.0.5 (Kay SR5)
• Spring Data REST 3.0 到 3.0.5 (Kay SR5)
• 较旧的不受支持的版本也受影响

缓解措施

受影响版本的用户应采取以下缓解措施

• 2.0.x 用户应升级到 2.0.6
• 1.13.x 用户应升级到 1.13.11
• 旧版本应升级到受支持的分支

已修复此问题的版本包括

• Spring Data REST 2.6.11 (Ingalls SR11)
• Spring Data REST 3.0.6 (Kay SR6)

无需采取其他缓解措施。

请注意，使用 Spring Security 提供的端点身份验证和授权可以将此漏洞的暴露限制为授权用户。

鸣谢

此问题由 Yevhenii Hrushka (Yevgeniy Grushka)，Fortify Webinspect 发现并负责任地报告。

参考

• https://jira.spring.io/browse/DATACMNS-1285
• https://github.com/spring-projects/spring-data-commons/commit/371f6590c509c72f8e600f3d05e110941607fbad
• https://github.com/spring-projects/spring-data-commons/commit/3d8576fe4e4e71c23b9e6796b32fd56e51182ee0

历史

2018-04-10：发布初始漏洞报告

• 2018-04-17：更新了修复此问题的版本列表