阿里云
服务器地域选择
发表主题 回复主题
  • 262阅读
  • 0回复

[安全漏洞公告专区]CVE-2017-8046:Spring Data REST远程代码执行漏洞

级别: 论坛版主
发帖
135
云币
546
L-U4 8 i  
2017年9月21日,流行的Java框架spring被爆出一个高位漏洞,漏洞CVE编号为:CVE-2017-8046,黑客可以利用该漏洞远程执行命令,使用了spring框架的业务存在高安全风险 g,*fpk  
具体详情如下:                                                                                                                  ?nu<)~r53  
COW lsca  
漏洞编号:   Ie Chz d  
CVE-2017-8046 n&]J-^Tx  
漏洞名称: aH%tD!%,o  
Java Spring Data REST远程代码执行漏洞 sX>|Y3S\U  
官方评级: 2>x[_  
高危 .'+JA:3R  
漏洞描述: p+Bvfn  
恶意攻击者使用精心构造的JSON数据包提交给spring-data-rest服务器的恶意PATCH请求可以执行任意的Java代码。 ?JRfhJ:j  
漏洞利用条件和方式:   "lA$;\&  
网站使用Spring Data REST提供REST Web服务,版本在受影响范围内。 {az LtTh  
漏洞影响范围: $1Z3yb^  
* Spring Data REST 2.5.12, 2.6.7, 3.0 RC3之前的版本 [daR)C  
* Spring Boot 2.0.0M4之前的版本 :SF8t`4`  
* Spring Data release trains Kay-RC3之前的版本 +C`vO5\0  
9% P$e=Ui#  
漏洞检测:   lg (>n&  
开发人员检查使用的Spring是否在受影响版本范围内。 ~te{9/   
漏洞修复建议(或缓解措施):   eBECY(QMQ  
升级到以下最新版本: =o"sBVj  
* Spring Data REST 2.5.12, 2.6.7, 3.0 RC3 M@.?l=1X  
* Spring Boot 2.0.0.M4 $U_1e'  
* Spring Data release train Kay-RC3 6l>016 x  
OJcI0(G  
情报来源:   kA4kQ}q  
1. https://pivotal.io/security/cve-2017-8046 EX3;|z@5;  
2. https://github.com/spring-projects/spring-data-rest/commit/8f269e28fe8038a6c60f31a1c36cfda04795ab45 U@:iN..  
3. http://projects.spring.io/spring-data-rest/
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个