亚洲中文字幕无码久久2017,久久AV无码精品人妻系列,国产男女无遮挡猛进猛出,亚洲s码欧洲m码国产AV

關(guān)于Spring AMQP與Spring Data REST存在遠程代碼執(zhí)行漏洞的安全公告

2017-09-23 13:40:28

安全公告編號:CNTA-2017-0067

近日,國家信息安全漏洞共享平臺(CNVD)收錄了Spring AMQP遠程代碼執(zhí)行漏洞(CNVD-2017-27969對應CVE-2017-8045)與Spring Data REST遠程代碼執(zhí)行漏洞(CNVD-2017-27968對應CVE-2017-8046)。綜合利用漏洞,攻擊者可能在目標服務器上遠程執(zhí)行任意代碼。

一、漏洞情況分析

Spring AMQP 是基于 Spring 框架的AMQP消息解決方案;Spring Data REST 的目標是提供堅實的基礎(chǔ),從而使用 HTTPREST 語義來開放 CRUD 操作到你的 JPA 庫管理的實體。自2017年9月19日以來,Pivotal團隊披露了以下兩個安全漏洞:

漏洞一:Spring AMQP遠程代碼執(zhí)行漏洞(CNVD-2017-27969對應CVE-2017-8045):

Spring AMQ的org.springframework.amqp.core.Message類存在反序列化漏洞,攻擊者利用該漏可能實現(xiàn)遠程代碼執(zhí)行攻擊。

漏洞二:Spring Data REST遠程代碼執(zhí)行漏洞(CNVD-2017-27968對應 CVE-2017-8046):

Spring Data REST在org.springframework.data.rest.webmvc.config.PersistentEntityResourceHandlerMethodArgumentResolver.java中調(diào)用resolveArgument方法來處理json Patch請求,攻擊者通過控制path并構(gòu)造惡意的PATCH請求提交到部署了Spring-Data-REST的服務器,可以使用特制的JSON數(shù)據(jù)來執(zhí)行任意的Java代碼,從而實現(xiàn)遠程代碼執(zhí)行攻擊。

CNVD對上述漏洞的綜合評級均為“高危”。

二、漏洞影響范圍

Spring AMQP遠程代碼執(zhí)行漏洞影響版本如下:

<1.7.4, 1.6.11, 1.5.7

Spring Data REST遠程代碼執(zhí)行漏洞,影響版本如下:

<Spring Data REST 2.5.12,2.6.7, 3.0 RC3

<Spring Boot 2.0.0M4

<Spring Data Kay-RC3

三、漏洞處置建議

Spring AMQP漏洞修復版本為:

2.0.0, 1.7.4, 1.6.11, 1.5.7,詳情參見官方鏈接:https://projects.spring.io/spring-amqp/

Spring Data REST漏洞修復版本為:

1.Spring Data REST 2.5.12,2.6.7, 3.0 RC3,

2.Spring Boot 2.0.0.M4

3.Spring Data Kay-RC3

詳情參見官方鏈接:

https://projects.spring.io/spring-data-rest/

https://projects.spring.io/spring-boot/

http://projects.spring.io/spring-data/

附:參考鏈接:

https://pivotal.io/security/cve-2017-8045

https://pivotal.io/security/cve-2017-8046

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27968

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27969


本公告在編寫過程中參考了杭州安恒公司的公開分析結(jié)果。