Spring Security 安全公告

所有公告

此页面列出了 Spring 安全公告。

CVE-2020-5427:Spring Cloud Data Flow 任务执行排序查询中存在 SQL 注入的可能性

中等 | 2021 年 1 月 25 日 | CVE-2020-5427

描述

在 Spring Cloud Data Flow 中,2.6.x 版本(早于 2.6.5)、2.5.x 版本(早于 2.5.4)的应用程序在请求任务执行时容易受到 SQL 注入攻击。

受影响的 Spring 产品和版本

  • Spring Cloud Data Flow
    • 2.6.x
    • 2.5.x

缓解措施

用户应升级到 2.5.4 及更高版本。已修复此问题的版本包括

  • Spring Cloud Data Flow
    • 2.7.0
    • 2.6.5

CVE-2020-5428:Spring Cloud 任务执行排序查询中存在 SQL 注入的可能性

| 2021 年 1 月 25 日 | CVE-2020-5428

描述

在使用 Spring Cloud Task 2.2.4.RELEASE 及以下版本的应用程序中,在 TaskExplorer 中执行某些查找查询时可能会容易受到 SQL 注入攻击。

受影响的 Spring 产品和版本

  • Spring Cloud Task
    • 2.2.4 及以下版本

缓解措施

用户应升级到 2.2.5 及更高版本。已修复此问题的版本包括

  • Spring Cloud Task
    • 2.3.0

CVE-2020-5411:Jackson 配置允许使用未知的“序列化工具”执行代码

| 2020 年 6 月 10 日 | CVE-2020-5411

描述

当配置为启用默认类型时,Jackson 包含一个 反序列化漏洞,可能导致任意代码执行。Jackson 通过将已知的“反序列化工具”列入黑名单来修复此漏洞。

Spring Batch 将 Jackson 配置为启用 全局默认类型,这意味着通过之前的漏洞,如果以下所有条件都成立,则可以执行任意代码

  • Spring Batch 的 Jackson 支持被用来序列化作业的 ExecutionContext。
  • 恶意用户获得了对 JobRepository 使用的数据存储(存储要反序列化的数据的位置)的写访问权限。

为了防止此类攻击,Jackson 阻止了一组不受信任的工具类的反序列化。在启用默认类型时,Spring Batch 应积极主动地阻止未知的“反序列化工具”。

受影响的 Spring 产品和版本

  • Spring Batch
    • 4.0.0 到 4.0.4
    • 4.1.0 到 4.1.4
    • 4.2.0 到 4.2.2

缓解措施

受影响版本的使用者应升级到 4.2.3 或更高版本。已修复此问题的版本包括

  • Spring Batch
    • 4.2.3

致谢

此问题由 Srikanth…识别并负责任地报告。

CVE-2020-5403:使用 Reactor Netty HTTP 服务器通过格式错误的 URL 进行拒绝服务攻击

中等 | 2020 年 2 月 27 日 | CVE-2020-5403

描述

Reactor Netty HttpServer 0.9.3 和 0.9.4 版本容易受到 URISyntaxException 的影响,该异常会导致连接过早关闭,而不是生成 400 响应。

受影响的 Spring 产品和版本

  • Reactor Netty
    • 0.9.3
    • 0.9.4

缓解措施

受影响版本的使用者应升级到 0.9.5(reactor-bom Dysprosium SR-5)。无需执行其他步骤。

  • Reactor Netty
    • 0.9.5

致谢

此问题是…

报告漏洞

要报告 Spring 产品组合中项目的安全漏洞,请参阅 安全策略

领先一步

VMware 提供培训和认证,以加速您的进步。

了解更多

获得支持

Tanzu Spring 在一个简单的订阅中提供对 OpenJDK™、Spring 和 Apache Tomcat® 的支持和二进制文件。

了解更多

即将举行的活动

查看 Spring 社区中所有即将举行的活动。

查看全部