描述

Spring Cloud Netflix 2.2.4 之前的 2.2.x 版本、2.1.6 之前的 2.1.x 版本以及更早不受支持的版本允许应用程序使用 Hystrix Dashboard proxy.stream 端点向托管服务器可访问的任何服务器发出请求…

描述

Spring Integration 框架提供 Kryo Codec 实现作为 Java (反)序列化的替代方案。当 Kryo 配置为默认选项时，所有未注册的类都会按需解析。这导致“反序列化 Gadget”…

描述

当配置为启用默认类型时，Jackson 包含一个可能导致任意代码执行的反序列化漏洞 。Jackson 通过将已知的“反序列化 Gadget”列入黑名单来修复此漏洞。

Spring Batch 将 Jackson 配置为启用全局默认类型 ，这意味着通过先前的漏洞利用，如果满足以下所有条件，则可以执行任意代码

• Spring Batch 的 Jackson 支持被用于序列化作业的 ExecutionContext。
• 恶意用户获得了 JobRepository（存储待反序列化数据的位置）使用的数据存储的写入访问权限。

为了防范此类攻击，Jackson 会阻止反序列化一组不受信任的 Gadget 类。Spring Batch 在启用默认类型时应主动阻止未知的“反序列化 Gadget”。

受影响的 Spring 产品和版本

• Spring Batch
  • 4.0.0 到 4.0.4
  • 4.1.0 到 4.1.4
  • 4.2.0 到 4.2.2

缓解措施

受影响版本的用户应升级到 4.2.3 或更高版本。  已修复此问题的版本包括

• Spring Batch
  • 4.2.3

致谢

此问题由 Srikanth 发现并负责任地报告…

描述

Spring Cloud Config 2.2.3 之前的 2.2.x 版本、2.1.9 之前的 2.1.x 版本以及更早不受支持的版本允许应用程序通过 spring-cloud-config-server 模块提供任意配置文件。恶意用户或攻击者…

描述

Spring Security 5.2.4 之前的 5.2.x 版本和 5.3.2 之前的 5.3.x 版本在 SAML 响应验证期间包含一个签名包装漏洞。使用 spring-security-saml2-service-provider 组件时，恶意用户可以精心…

描述

Spring Security 5.3.2 之前的 5.3.x 版本、 5.2.4 之前的 5.2.x 版本、 5.1.10 之前的 5.1.x 版本、5.0.16 之前的 5.0.x 版本和 4.2.16 之前的 4.2.x 版本在可查询文本加密器的实现中使用带 CBC 模式的固定 null 初始化向量…

描述

Reactor Netty HttpServer 0.9.3 和 0.9.4 版本存在 URISyntaxException，导致连接过早关闭，而不是生成 400 响应。

受影响的 Spring 产品和版本

• Reactor Netty
  • 0.9.3
  • 0.9.4

缓解措施

受影响版本的用户应升级到 0.9.5 (reactor-bom Dysprosium SR-5)。 无需其他步骤。

• Reactor Netty
  • 0.9.5

致谢

此问题…

描述

Reactor Netty HttpClient 0.9.5 之前的 0.9.x 版本和 0.8.16 之前的 0.8.x 版本可能被错误使用，导致重定向到不同域时发生凭据泄露。要发生这种情况，HttpClient 必须…

描述

Spring Cloud Config 2.2.2 之前的 2.2.x 版本、2.1.7 之前的 2.1.x 版本以及更早不受支持的版本允许应用程序通过 spring-cloud-config-server 模块提供任意配置文件。恶意用户或攻击者…

描述

Spring Framework 5.2.3 之前的 5.2.x 版本容易受到通过 CORS preflight 请求进行的 CSRF 攻击，这些请求针对 Spring MVC (spring-webmvc 模块) 或 Spring WebFlux (spring-webflux 模块) 端点。

只有非认证端点…