91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何進行Spring CVE-2018-1273,CVE-2018-1274和CVE-2018-1275漏洞分析

發布時間:2021-12-20 19:41:17 來源:億速云 閱讀:195 作者:柒染 欄目:大數據

這篇文章給大家介紹如何進行Spring CVE-2018-1273,CVE-2018-1274和CVE-2018-1275漏洞分析,內容非常詳細,感興趣的小伙伴們可以參考借鑒,希望對大家能有所幫助。

0x00 漏洞概述


2018年4月9日,Pivotal Spring官方發布安全公告,Spring框架中存在遠程代碼執行漏洞(CVE-2018-1275):針對漏洞(CVE-2018-1270)的部分修復。

4月10日Spring再次發布安全公告,Spring框架中存在兩個漏洞:Spring Data Commons組件遠程代碼執行漏洞(CVE-2018-1273)和Spring Data Commons組件拒絕服務漏洞(CVE-2018-1274)。如何進行Spring CVE-2018-1273,CVE-2018-1274和CVE-2018-1275漏洞分析從四月五日至四月十日,Spring官方一共發布了六個漏洞安全公告,包含了遠程代碼執行漏洞,目錄遍歷漏洞和拒絕服務等高危漏洞。

360-CERT經過相關分析,認為漏洞影響嚴重,建議相關用戶盡快進行評估升級。

0x01 漏洞影響面


影響版本

CVE-2018-1273和CVE-2018-1274

  1. Spring Data Commons 1.13 至 1.13.10(Ingalls SR10)

  2. Spring Data REST 2.6 至 2.6.10 (Ingalls SR10)

  3. Spring Data Commons 2.0 至 2.0.5 (Kay SR5)

  4. Spring Data REST 3.0 至 3.0.5 (Kay SR5)

  5. 已停止支持的老版本

CVE-2018-1275

  1. Spring Framework 5.0 至 5.0.4

  2. Spring Framework 4.3 至 4.3.15

  3. 已停止支持的老版本

修復版本

CVE-2018-1273和CVE-2018-1274

Data Commons組件

  1. 2.0.x系列升級到2.0.6

  2. 1.13.x系列升級到1.13.11

  3. 停止支持的老版本升級到官方提供支持的新版本

項目中已經修復的版本

  1. Spring Data REST 2.6.11 (Ingalls SR11)

  2. Spring Data REST 3.0.6 (Kay SR6)

  3. Spring Boot 1.5.11

  4. Spring Boot 2.0.1

CVE-2018-1275

  1. 5.0.x 升級到 5.0.5

  2. 4.3.x 升級到 4.3.16

  3. 停止支持的老版本升級到官方提供支持的新版本


0x02 漏洞詳情


CVE-2018-1273

Spring Data 是Spring框架中提供底層數據訪問的項目模塊,Spring Data Commons 是一個共用的基礎模塊。此模塊對特殊屬性處理時會使用SpEl表達式,導致攻擊者可以通過構造特殊的URL請求,造成服務端遠程代碼執行。

Spring在補丁中使用更加安全的SimpleEvaluationContext替換了StandardEvaluationContext。

補丁(https://github.com/spring-projects/spring-data-commons/commit/b1a20ae1e82a63f99b3afc6f2aaedb3bf4dc432a

如何進行Spring CVE-2018-1273,CVE-2018-1274和CVE-2018-1275漏洞分析

CVE-2018-1274

Spring Data Commons模塊在解析屬性路徑時未限制資源分配,導致攻擊者可以通過消耗CPU和內存資源來進行拒絕服務攻擊。

補丁(https://github.com/spring-projects/spring-data-commons/commit/371f6590c509c72f8e600f3d05e110941607fbad?diff=unified

如何進行Spring CVE-2018-1273,CVE-2018-1274和CVE-2018-1275漏洞分析

CVE-2018-1275

此漏洞是Spring-messaging遠程代碼執行漏洞(CVE-2018-1270)修復時的遺留問題,(CVE-2018-1270)涉及到Spring框架的5.0.x版本和4.3.x版本。但由于對4.3.x版本修復不完全,導致攻擊者仍然可以進行遠程代碼執行攻擊。

相關CVE-2018-1270漏洞分析預警地址https://cert.#/warning/detail?id=3efa573a1116c8e6eed3b47f78723f12

關于如何進行Spring CVE-2018-1273,CVE-2018-1274和CVE-2018-1275漏洞分析就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

永兴县| 枣阳市| 乐业县| 丰宁| 九龙城区| 会泽县| 福贡县| 无棣县| 砀山县| 衢州市| 武威市| 调兵山市| 峨眉山市| 莱西市| 广安市| 察哈| 望城县| 商洛市| 淮南市| 宣威市| 宁夏| 新乐市| 西丰县| 杭州市| 普宁市| 桂阳县| 临海市| 交城县| 甘泉县| 宜都市| 武义县| 巧家县| 桂东县| 探索| 寿宁县| 中阳县| 新密市| 乐东| 东明县| 固阳县| 无棣县|