描述

Spring Security 5.5.x 版本低于 5.5.7、5.6.x 版本低于 5.6.4 以及更早的不受支持的版本包含整数溢出漏洞。当使用 BCrypt 类且工作因子为最大值 (31) 时，由于整数溢出错误，编码器不会执行任何盐轮。

默认设置不受此 CVE 的影响。

只有在 BCryptPasswordEncoder 配置为最大工作因子的情况下才会受到影响。 由于目前计算机硬件的限制，使用如此高的工作因子在计算上是不切实际的。

您需要使用工作因子为 31 的 BCrypt 才能受到影响。您可以使用以下缓解工具来检查您的密码是否受到影响。

受影响的 Spring 产品和版本

• Spring Security
  • 5.5.x 版本低于 5.5.7
  • 5.6.x 版本低于 5.6.4
  • 更早的不受支持的版本

缓解措施

在更新到最新版本之前，请更新您的 BCryptPasswordEncoder 以使用较低的轮数。 在撰写本文时，OWASP 建议值为 10。

然后，使用上面引用的缓解工具来更新您的密码哈希值。

更新密码哈希后，您应该根据以下内容更新您的版本：5.5.x 用户应升级到 5.5.7，5.6.x 用户应升级到 5.6.4，或者用户应升级到 5.7.0。 升级 Spring Security 依赖项后，您应该建议受影响的用户更改其密码。

还可以在缓解工具中找到缓解措施常见问题解答。

已修复此问题的版本包括

• Spring Security
  • 5.5.7
  • 5.6.4
  • 5.7.0

致谢

此问题由 Eyal Kaspi 发现并负责任地报告。

参考

• https://docs.springframework.org.cn/spring-security/site/docs/current/reference/html5/#authentication-password-storage
• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:N/A:N/E:P/RL:O/RC:U/CR:M/IR:L/AR:L/MAV:L/MAC:H/MPR:H/MUI:N/MS:C/MC:H/MI:N/MA:N

历史

• 2022-05-17：发布初始漏洞报告。