CVE-2020-5421 | Spring Framework反射型文件下载漏洞通告

  • A+
所属分类:安全漏洞

0x00 漏洞概述

CVE   ID

CVE-2020-5421

时    

2020-09-22

类    

RFD

等    级

高危

远程利用

影响范围

Spring Framework

5.2.0 - 5.2.8

5.1.0 - 5.1.17

5.0.0 - 5.0.18

4.3.0 - 4.3.28

及更早期的版本

 

Spring Framework是一个Java/Java EE/.NET的分层应用程序框架。该框架基于Expert One-on-One Java EE Design and Development(ISBN 0-7645-4385-7)一文中的代码,并最初由Rod Johnson开发。Spring Framework提供了一个简易的开发方式这种开发方式将避免那些可能致使底层代码变得繁杂混乱的大量属性文件和帮助类。

0x01 漏洞详情

 

CVE-2020-5421 | Spring Framework反射型文件下载漏洞通告

 

2020年09月17日,VMware发布安全公告,Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28及更早期的版本中存在一个反射型文件下载漏洞,漏洞跟踪为CVE-2020-5421。该漏洞可通过使用jsessionid路径参数绕过RFD安全防护策略



此外,针对RFD攻击,还可以采取一些其他的方法:

  • 编码而不是转义JSON响应。这是OWASP XSS的建议。有关如何使用Spring进行操作的示例,请参见https://github.com/rwinch/spring-jackson-owasp。

  • 将后缀模式匹配配置为关闭或仅限于显式注册的后缀。

  • 使用内容属性useJafignoreUknownPathExtension设置为false来配置内容协商,这将导致扩展名未知的URL产生406响应。但是如果自然希望URL的末尾有一个点,将不能采用此种方法

  • 在响应中添加“ X-Content-Type-Options:nosniff”标头。Spring Security 4默认情况采取此种方式

0x02 处置建议

目前VMware官方已发布安全更新建议将Spring Framework升级到新的版本:

    5.2.9

    5.1.18

    5.0.19

    4.3.29

下载链接

https://github.com/spring-projects/spring-framework/releases

0x03 相关新闻

https://spring.io/blog/2015/10/15/spring-framework-4-2-2-4-1-8-and-3-2-15-available-now

0x0参考链接

https://tanzu.vmware.com/security/cve-2020-5421

https://tanzu.vmware.com/security/cve-2015-5211

https://www.security-database.com/detail.php?alert=CVE-2015-5211

0x05 时间线

2020-09-17     VMware发布安全公告

2020-09-22    VSRC发布安全通告

 

CVE-2020-5421 | Spring Framework反射型文件下载漏洞通告


 

 

 

 

 

 


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: