阿里云
社区时光机
发表主题 回复主题
  • 767阅读
  • 0回复

[安全漏洞公告专区]CVE-2017-8046:Spring Data REST远程代码执行漏洞

级别: 论坛版主
发帖
135
云币
571
`0Q:d'  
2017年9月21日,流行的Java框架spring被爆出一个高位漏洞,漏洞CVE编号为:CVE-2017-8046,黑客可以利用该漏洞远程执行命令,使用了spring框架的业务存在高安全风险 +=@Z5eu  
具体详情如下:                                                                                                                  ?-'Q-\j  
_.06^5o  
漏洞编号:   M+^K,  
CVE-2017-8046  )Bk?"q  
漏洞名称: x{*!"a>  
Java Spring Data REST远程代码执行漏洞 iVu+ct-iv  
官方评级: 90aPIs-  
高危 MgMLfgt"V  
漏洞描述: L{fP_DIa  
恶意攻击者使用精心构造的JSON数据包提交给spring-data-rest服务器的恶意PATCH请求可以执行任意的Java代码。 PvT8XSlTx!  
漏洞利用条件和方式:   Tz L40="F  
网站使用Spring Data REST提供REST Web服务,版本在受影响范围内。 t1Khf  
漏洞影响范围: p go\(K0  
* Spring Data REST 2.5.12, 2.6.7, 3.0 RC3之前的版本 qryt1~Dq  
* Spring Boot 2.0.0M4之前的版本 Nyqm0C6m^  
* Spring Data release trains Kay-RC3之前的版本 JcVq%~ {M  
YJ16vb9  
漏洞检测:   F5<{-{Ky  
开发人员检查使用的Spring是否在受影响版本范围内。 x(7K3(#|  
漏洞修复建议(或缓解措施):   8:xQPd?3  
升级到以下最新版本: nG%j4r ;  
* Spring Data REST 2.5.12, 2.6.7, 3.0 RC3 (kuZS4Af  
* Spring Boot 2.0.0.M4 S8)awTA9  
* Spring Data release train Kay-RC3 !Z'm@,+  
"\=_- `  
情报来源:   1aT$07G0  
1. https://pivotal.io/security/cve-2017-8046 7:j #1N[p  
2. https://github.com/spring-projects/spring-data-rest/commit/8f269e28fe8038a6c60f31a1c36cfda04795ab45 }b^lg&$(  
3. http://projects.spring.io/spring-data-rest/
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 54 - 8 = ?
上一个 下一个