领先一步
VMware 提供培训和认证,以加速您的进步。
了解更多Spring Security 安全公告
CVE-2019-3795:使用 Spring Security 构造的 SecureRandom 实例时的不安全随机性
描述
Spring Security 4.2.x 版本(低于 4.2.12)、5.0.x 版本(低于 5.0.12)和 5.1.x 版本(低于 5.1.5)在使用 SecureRandomFactoryBean#setSeed 配置 SecureRandom 实例时存在不安全的随机性漏洞。为了受到影响,诚实的应用程序必须提供种子并将生成的随机材料提供给攻击者进行检查。
受影响的 Spring 产品和版本
- Spring Security 4.2 至 4.2.11
- Spring Security 5.0 至 5.0.11
- Spring Security 5.1 至 5.1.4
缓解措施
受影响版本的使用者应采取以下缓解措施:
- 4.2.x 用户应升级到 4.2.12
- 5.0.x 用户应升级到 5.0.12
- 5.1.x 用户应升级到 5.1.5
致谢
此问题由 Thijs Alkemade 发现并负责报告。
历史记录
2019-04-02:发布初始漏洞报告。
报告漏洞
要报告 Spring 产品组合中项目的安全漏洞,请参阅安全策略