描述

Spring Security 5.3.x 版本（低于 5.3.2）、5.2.x 版本（低于 5.2.4）、5.1.x 版本（低于 5.1.10）、5.0.x 版本（低于 5.0.16）和 4.2.x 版本（低于 4.2.16）在可查询文本加密器的实现中使用了固定的空初始化向量和 CBC 模式。具有访问使用此类加密器加密的数据的恶意用户可能能够使用字典攻击推导出未加密的值。

受影响的Spring产品和版本

• Spring Security
  • 5.3.x (低于 5.3.2)
  • 5.2.x (低于 5.2.4)
  • 5.1.x (低于 5.1.10)
  • 5.0.x (低于 5.0.16)
  • 4.2.x (低于 4.2.16)

缓解措施

所有用户都应停止使用Encryptors#queryableText(CharSequence, CharSequence)方法，并依赖其数据存储来查询加密数据。用户应执行以下升级，因为此方法在较新版本的Spring Security中已被弃用。较旧的版本应升级到受支持的分支。已修复此问题的版本包括：

• Spring Security
  • 5.3.2
  • 5.2.4
  • 5.1.10
  • 5.0.16
  • 4.2.16

致谢

此问题由ForgeRock的Neil Madden发现并负责报告。

参考资料

• https://cwe.mitre.org/data/definitions/329.html

历史记录

• 2020-05-07：发布初始漏洞报告。