情報漏えいニュース

パソコンの誤操作、不正アクセス、紛失、盗難などによる個人情報や機密情報の流出などは後を絶ちません。
「情報漏えいニュース」では、日々発生する情報漏えいに関するニュースをまとめて公開しています。

Spring Framework、Spring関係のフレームワークに複数の脆弱性を確認

by ·

  • 元記事:CVE-2018-1257: ReDoS Attack with spring-messaging
  • 元記事:CVE-2018-1258: Unauthorized Access with Spring Security Method Security
  • 元記事:CVE-2018-1259: XXE with Spring Data’s XMLBeam integration
  • 元記事:CVE-2018-1260: Remote Code Execution with spring-security-oauth2
  • 元記事:CVE-2018-1261: Unsafe Unzip with spring-integration-zip
  • HP:Spring Framework
    • 発表日時 2018/5/9

    Spring FrameworのSpring関係のフレームワークに複数の脆弱性が確認された。確認されたのは5件の脆弱性で、そのうち3つの脆弱性の重要度がCriticalとなっている。
    一つ目は、Spring Framework 5.0.5 RELEASEで、Spring Securityの全バージョンとの組み合わせで認証バイパスの脆弱性が存在する。Spring Framework 5.0.6 RELEASEへのアップデートによりこの脆弱性は解消される。
    Spring Security OAuth 2.3から2.3.2、2.2から2.2.1、2.1から2.1.1、2.0から2.0.14とそれ以前のバージョンにはリモートコード実行の恐れのある脆弱性が存在する。解決策としてSpring Security OAuth 2.3.3、2.2.2、2.1.2、2.0.15が公開されている。
    spring integration zip バージョン1.0.1以前では細工された圧縮ファイルの使用によりパストラバーサルが生じる脆弱性が存在する。解決策としてspring integration zip バージョン1.0.1へのアップデートでこの脆弱性は修正される。
    その他2件の脆弱性の重要度はHighで、1件はSpring Framework versions 5.0.xから5.0.5、4.3.x から4.3.16とそれ以前にはsimple STOMP brokerが有効化してる場合に、WebSocket上でspringメッセージモジュールでメッセージングプロトコルを処理すると、細工されたメッセージによりサービス運用妨害の脆弱性が生じる。解決策としてSpring Framework 5.0.6及び4.3.17が公開されている。
    2件目はSpring Data Commonsバージョン1.13から1.13.11、2.0から2.0.6でSpring Data Commonsバージョン1.13から1.13.11、2.0から2.0.6とXMLBeam 1.4.14又はそれ以前のバージョンとの組み合わせでXML外部実体参照(XXE)処理の脆弱性が発生する。この脆弱性により任意のファイルにアクセスされる恐れがある。解決策としてSpring Data Commons 1.13.12及び2.0.7が公開されている。




    タグ:

    ワンビは情報漏洩対策の専門家です。情報漏洩に関する様々な情報はこちらからどうぞ!
    ワンビは情報漏洩対策の専門家です。
    テレワークPC紛失・盗難時の情報漏洩防止と
    第三者データ消去証明にご興味がありましたらこちらから!

    あわせて読みたい