阿里云
向代码致敬,寻找你的第83行
发表主题 回复主题
  • 1019阅读
  • 0回复

[安全漏洞公告专区]CVE-2017-8046:Spring Data REST远程代码执行漏洞

级别: 论坛版主
发帖
131
云币
571
:<=A1>&8  
2017年9月21日,流行的Java框架spring被爆出一个高位漏洞,漏洞CVE编号为:CVE-2017-8046,黑客可以利用该漏洞远程执行命令,使用了spring框架的业务存在高安全风险 s,!+wHv_8  
具体详情如下:                                                                                                                  &-mPj82R  
Q& j:ai*  
漏洞编号:   eo.y,Uh  
CVE-2017-8046 Yw&{.<sL  
漏洞名称: 8+5 z-vd  
Java Spring Data REST远程代码执行漏洞 @8a1a3_F  
官方评级: z~i=\/~tZ  
高危 @Fv"j9j-3G  
漏洞描述: ;-Fr^|do y  
恶意攻击者使用精心构造的JSON数据包提交给spring-data-rest服务器的恶意PATCH请求可以执行任意的Java代码。 }D02*s  
漏洞利用条件和方式:   8FYcUvxfT  
网站使用Spring Data REST提供REST Web服务,版本在受影响范围内。 ;<i`6e  
漏洞影响范围: g?'pb*PR  
* Spring Data REST 2.5.12, 2.6.7, 3.0 RC3之前的版本 |E/U(VS3l~  
* Spring Boot 2.0.0M4之前的版本 4Y2l]86  
* Spring Data release trains Kay-RC3之前的版本 c 4xh  
mMo<C_~w&  
漏洞检测:   ZU\TA|  
开发人员检查使用的Spring是否在受影响版本范围内。 "N\>v#>C  
漏洞修复建议(或缓解措施):   7UM!<@9\  
升级到以下最新版本: $n>|9(K8  
* Spring Data REST 2.5.12, 2.6.7, 3.0 RC3 7v\K,P8  
* Spring Boot 2.0.0.M4 M`^;h:DN^  
* Spring Data release train Kay-RC3 S^ ij%  
KFd !wZ @e  
情报来源:   $w!;~s  
1. https://pivotal.io/security/cve-2017-8046 eTVI.B@p  
2. https://github.com/spring-projects/spring-data-rest/commit/8f269e28fe8038a6c60f31a1c36cfda04795ab45 doM}vh)6  
3. http://projects.spring.io/spring-data-rest/
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个