阿里云
社区时光机
发表主题 回复主题
  • 794阅读
  • 0回复

[安全漏洞公告专区]CVE-2017-8046:Spring Data REST远程代码执行漏洞

级别: 论坛版主
发帖
135
云币
571
1 qUdj[Bj  
2017年9月21日,流行的Java框架spring被爆出一个高位漏洞,漏洞CVE编号为:CVE-2017-8046,黑客可以利用该漏洞远程执行命令,使用了spring框架的业务存在高安全风险 [`fq4Ky  
具体详情如下:                                                                                                                  P+3G*M=}  
^l^_K)tw*  
漏洞编号:   n/@/yJ<EFi  
CVE-2017-8046 2,&lGyV#  
漏洞名称: ~~zw[#'  
Java Spring Data REST远程代码执行漏洞 d0 V>;Q  
官方评级: OV8b~k4=  
高危 7^iF,N  
漏洞描述:  A ]U]  
恶意攻击者使用精心构造的JSON数据包提交给spring-data-rest服务器的恶意PATCH请求可以执行任意的Java代码。 B@zJ\Ir[  
漏洞利用条件和方式:   .4!N #'  
网站使用Spring Data REST提供REST Web服务,版本在受影响范围内。 sjTsaM;<  
漏洞影响范围: v[a#>!;s  
* Spring Data REST 2.5.12, 2.6.7, 3.0 RC3之前的版本 +zs6$OI]V  
* Spring Boot 2.0.0M4之前的版本 ,uKvE`H  
* Spring Data release trains Kay-RC3之前的版本 pXFNK" jm  
ri JyH;)  
漏洞检测:   M+hc,;6  
开发人员检查使用的Spring是否在受影响版本范围内。 )i_FU~ LRq  
漏洞修复建议(或缓解措施):   9x?;;qC"m9  
升级到以下最新版本: 0dcXgP  
* Spring Data REST 2.5.12, 2.6.7, 3.0 RC3 Ab2g),;c  
* Spring Boot 2.0.0.M4 BXfaqYb;Q  
* Spring Data release train Kay-RC3 4G>|It  
P/I{q s  
情报来源:   .@6]_h;  
1. https://pivotal.io/security/cve-2017-8046 ooZ-T>$  
2. https://github.com/spring-projects/spring-data-rest/commit/8f269e28fe8038a6c60f31a1c36cfda04795ab45 oyr2lfz*  
3. http://projects.spring.io/spring-data-rest/
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个