此页面上的内容需要较新版本的 Adobe Flash Player。

获取 Adobe Flash Player

预警信息
当前位置: 首页 预警信息
名称:  关于Spring AMQP与Spring Data REST存在远程代码执行漏洞的安全公告
索引:  K08260953/2017-02874 发布机构:  吉林省通信管理局办公室
生成日期:  2017-10-12 10:56:35 文号:  
信息分类:   关键词:  
内容概述:  关于Spring AMQP与Spring Data REST存在远程代码执行漏洞的安全公告
关于Spring AMQP与Spring Data REST存在远程代码执行漏洞的安全公告
发布时间:2017-10-12 10:56:35  

  安全公告编号:CNTA-2017-0067
  近日,国家信息安全漏洞共享平台(CNVD)收录了Spring AMQP远程代码执行漏洞(CNVD-2017-27969对应CVE-2017-8045)与Spring Data REST远程代码执行漏洞(CNVD-2017-27968对应CVE-2017-8046)。综合利用漏洞,攻击者可能在目标服务器上远程执行任意代码。
  一、漏洞情况分析
  Spring AMQP 是基于 Spring 框架的AMQP消息解决方案;Spring Data REST 的目标是提供坚实的基础,从而使用 HTTPREST 语义来开放 CRUD 操作到你的 JPA 库管理的实体。自2017年9月19日以来,Pivotal团队披露了以下两个安全漏洞:
  漏洞一:Spring AMQP远程代码执行漏洞(CNVD-2017-27969对应CVE-2017-8045):
  Spring AMQ的org.springframework.amqp.core.Message类存在反序列化漏洞,攻击者利用该漏可能实现远程代码执行攻击。
  漏洞二:Spring Data REST远程代码执行漏洞(CNVD-2017-27968对应 CVE-2017-8046):
  Spring Data REST在org.springframework.data.rest.webmvc.config.PersistentEntityResourceHandlerMethodArgumentResolver.java中调用resolveArgument方法来处理json Patch请求,攻击者通过控制path并构造恶意的PATCH请求提交到部署了Spring-Data-REST的服务器,可以使用特制的JSON数据来执行任意的Java代码,从而实现远程代码执行攻击。
  CNVD对上述漏洞的综合评级均为“高危”。
  二、漏洞影响范围
  Spring AMQP远程代码执行漏洞影响版本如下:
  <1.7.4, 1.6.11, 1.5.7
  Spring Data REST远程代码执行漏洞,影响版本如下:
  <Spring Data REST 2.5.12,2.6.7, 3.0 RC3
  <Spring Boot 2.0.0M4
  <Spring Data Kay-RC3
  三、漏洞修复建议
  Spring AMQP漏洞修复版本为:
  2.0.0, 1.7.4, 1.6.11, 1.5.7,详情参见官方链接:
https://projects.spring.io/spring-amqp/
  Spring Data REST漏洞修复版本为:
  1.  Spring Data REST 2.5.12,2.6.7, 3.0 RC3,
  2.  Spring Boot 2.0.0.M4
  3.  Spring Data Kay-RC3
  详情参见官方链接:
  
https://projects.spring.io/spring-data-rest/
  
https://projects.spring.io/spring-boot/
  
http://projects.spring.io/spring-data/
  附:参考链接:
  
https://pivotal.io/security/cve-2017-8045
  
https://pivotal.io/security/cve-2017-8046  
  
http://www.cnvd.org.cn/flaw/show/CNVD-2017-27968 
  
http://www.cnvd.org.cn/flaw/show/CNVD-2017-27969