描述

Spring Security 4.2.x 版本低于 4.2.12、5.0.x 版本低于 5.0.12 和 5.1.x 版本低于 5.1.5，在使用 SecureRandomFactoryBean#setSeed 配置 SecureRandom 实例时，存在不安全随机性漏洞。 为了受到影响，诚实的应用程序必须提供种子，并使生成的随机材料可供攻击者检查。

受影响的 Spring 产品和版本

• Spring Security 4.2 到 4.2.11
• Spring Security 5.0 到 5.0.11
• Spring Security 5.1 到 5.1.4

缓解措施

受影响版本的用户应应用以下缓解措施

• 4.2.x 用户应升级到 4.2.12
• 5.0.x 用户应升级到 5.0.12
• 5.1.x 用户应升级到 5.1.5

鸣谢

Thijs Alkemade 识别并负责地报告了此问题。

历史

2019-04-02：发布初始漏洞报告。