Spring框架拒绝服务漏洞(CVE-2018-15756)
发布日期:2019-06-10
更新日期:2019-06-11
受影响系统:
pivotal Spring Framework 5.0.9
pivotal Spring Framework 5.0.6
pivotal Spring Framework 5.0.5
pivotal Spring Framework 5.0.4
pivotal Spring Framework 5.0.3
pivotal Spring Framework 5.0.2
pivotal Spring Framework 5.0.1
pivotal Spring Framework 4.3.19
pivotal Spring Framework 4.3.18
pivotal Spring Framework 4.3.17
pivotal Spring Framework 4.3.16
pivotal Spring Framework 4.3.15
pivotal Spring Framework 4.3.14
pivotal Spring Framework 4.3
pivotal Spring Framework 4.2.2
pivotal Spring Framework 4.2.1
pivotal Spring Framework 4.2
Oracle Retail Order Broker 5.2
Oracle Retail Order Broker 5.1
Oracle Retail Order Broker 16.0
Oracle Retail Order Broker 15.0
Oracle Retail Invoice Matching 14.1
Oracle Retail Invoice Matching 14.0
Oracle Retail Invoice Matching 13.2
Oracle Retail Invoice Matching 13.1
Oracle Retail Invoice Matching 13.0
Oracle Retail Invoice Matching 12.0
不受影响系统:
pivotal Spring Framework 5.1.1pivotal Spring Framework 5.0.10
pivotal Spring Framework 4.3.20
描述:
BUGTRAQ ID: 105703
CVE(CAN) ID: CVE-2018-15756
Spring 框架是一个开源的 Java 平台,它为容易而快速的开发出耐用的 Java 应用程序提供了全面的基础设施。
Spring Framework,版本5.1,5.0.10之前的版本5.0.x,4.3.20之前的版本4.3.x以及4.2.x分支上较旧的不受支持的版本在通过ResourceHttpRequestHandler提供静态资源时提供对范围请求的支持,或者当带注释的控制器返回org.springframework.core.io.Resource时,从5.0开始。恶意用户(或攻击者)可以添加具有大量范围的范围标头,或者具有重叠范围或者两者兼而有之的范围标头,以用于拒绝服务攻击。此漏洞会影响依赖于spring-webmvc或spring-webflux的应用程序。此类应用程序还必须具有服务静态资源的注册(例如JS,CSS,图像等),或者具有返回org.springframework.core.io.Resource的带注释的控制器。
<*来源:Aruba威胁实验室的Nicholas Starke
链接:https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
https://pivotal.io/security/cve-2018-15756
*>
建议:
厂商补丁:
Oracle
------
Oracle已经为此发布了一个安全公告(CVE-2018-15756)以及相应补丁:
CVE-2018-15756:Oracle Critical Patch Update Advisory - April 2019
链接:https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
补丁下载:
pivotal
-------
pivotal已经为此发布了一个安全公告(CVE-2018-15756)以及相应补丁:
CVE-2018-15756:DoS Attack via Range Requests
链接:https://pivotal.io/security/cve-2018-15756
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx