安全资讯/
UCloud-201709-005:Spring Data REST和AMQP服务器远程代码执行漏洞安全预警
-
UCloud-201709-005:Spring Data REST和AMQP服务器远程代码执行漏洞安全预警
尊敬的UCloud用户:近日,spring被爆出存在两个远程命令执行高危漏洞,危害严重。请及时检查您所使用的spring是否受影响,并采取安全防御措施。
影响范围1、CVE-2017-8046:网站使用以下版本,且使用Spring Data REST提供REST Web服务· Spring Data REST versions < 2.5.12 2.6.7 3.0 RC3· Spring Boot version < 2.0.0M4· Spring Data release trains < Kay-RC32、CVE-2017-8045:网站使用以下版本,且使用Spring AMQP服务· Spring AMQP versions < 1.7.4, 1.6.11, 1.5.7
修复方案升级到官方已经发布的最新版本:· Spring Data REST 2.5.12, 2.6.7, 3.0 RC3· Spring Boot 2.0.0.M4· Spring Data release train Kay-RC3· Spring AMQP: 2.0.0, 1.7.4, 1.6.11, 1.5.7
漏洞详情CVE-2017-8046:Spring-data-rest服务器在处理PATCH请求时存在一个远程代码执行漏洞。攻击者可以构造恶意的PATCH请求并发送给spring-date-rest服务器,提交的JSON数据中存在SPEL表达式可以导致远程代码执行 。CVE-2017-8045:Spring AMQP服务器由于在org.springframework.amqp.core.Message被不安全的反序列化为一个string,从而导致远程代码执行。
参考链接*本平台所发布文章信息,版权归UCloud所有,如需转载请注明出处!