描述

Spring Security 5.3.x 版本低于 5.3.2，5.2.x 版本低于 5.2.4，5.1.x 版本低于 5.1.10，5.0.x 版本低于 5.0.16 和 4.2.x 版本低于 4.2.16 在可查询文本加密器的实现中使用带有 CBC 模式的固定 null 初始化向量。 恶意用户如果可以访问使用此类加密器加密的数据，则可能能够使用字典攻击来导出未加密的值。

受影响的 Spring 产品和版本

• Spring Security
  • 5.3.x 版本低于 5.3.2
  • 5.2.x 版本低于 5.2.4
  • 5.1.x 版本低于 5.1.10
  • 5.0.x 版本低于 5.0.16
  • 4.2.x 版本低于 4.2.16

缓解措施

所有用户应停止使用 Encryptors#queryableText(CharSequence, CharSequence)，并依靠其数据存储来查询加密数据。 用户应执行以下升级，因为此方法已在新版本的 Spring Security 中被弃用。 较旧的版本应升级到受支持的分支。 已修复此问题的版本包括

• Spring Security
  • 5.3.2
  • 5.2.4
  • 5.1.10
  • 5.0.16
  • 4.2.16

鸣谢

此问题由 ForgeRock 的 Neil Madden 发现并负责任地报告。

参考文献

• https://cwe.mitre.org/data/definitions/329.html

历史

• 2020-05-07：发布了初始漏洞报告。