0x00 漏洞概述
|
CVE ID |
CVE-2020-5421 |
时 间 |
2020-09-22 |
|
类 型 |
RFD |
等 级 |
高危 |
|
远程利用 |
是 |
影响范围 |
Spring Framework 5.2.0 - 5.2.8 5.1.0 - 5.1.17 5.0.0 - 5.0.18 4.3.0 - 4.3.28 以及更早期的版本 |
Spring Framework是一个Java/Java EE/.NET的分层应用程序框架。该框架基于Expert One-on-One Java EE Design and Development(ISBN 0-7645-4385-7)一文中的代码,并最初由Rod Johnson开发。Spring Framework提供了一个简易的开发方式,这种开发方式将避免那些可能致使底层代码变得繁杂混乱的大量属性文件和帮助类。
0x01 漏洞详情
2020年09月17日,VMware发布安全公告,Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28及更早期的版本中存在一个反射型文件下载漏洞,漏洞跟踪为CVE-2020-5421。该漏洞可通过使用jsessionid路径参数绕过RFD安全防护策略。
此外,针对RFD攻击,还可以采取一些其他的方法:
-
编码而不是转义JSON响应。这是OWASP XSS的建议。有关如何使用Spring进行操作的示例,请参见https://github.com/rwinch/spring-jackson-owasp。
-
将后缀模式匹配配置为关闭或仅限于显式注册的后缀。
-
使用内容属性“useJaf”和“ignoreUknownPathExtension“设置为false来配置内容协商,这将导致扩展名未知的URL产生406响应。但是如果自然希望URL的末尾有一个点,将不能采用此种方法。
-
在响应中添加“ X-Content-Type-Options:nosniff”标头。Spring Security 4默认情况采取此种方式。
0x02 处置建议
目前VMware官方已发布安全更新,建议将Spring Framework升级到新的版本:
5.2.9
5.1.18
5.0.19
4.3.29
下载链接:
https://github.com/spring-projects/spring-framework/releases
0x03 相关新闻
https://spring.io/blog/2015/10/15/spring-framework-4-2-2-4-1-8-and-3-2-15-available-now
0x04 参考链接
https://tanzu.vmware.com/security/cve-2020-5421
https://tanzu.vmware.com/security/cve-2015-5211
https://www.security-database.com/detail.php?alert=CVE-2015-5211
0x05 时间线
2020-09-17 VMware发布安全公告
2020-09-22 VSRC发布安全通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论