安全漏洞通告

类型

远程代码执行

影响范围

Spring Framework

危害级别

高危

内容概述

Spring框架远程代码执行漏洞CVE-2018-1270

受影响版本：

Spring Framework 5.0 to 5.0.4

Spring Framework 4.3 to 4.3.14

以及更早以前的版本

详细说明

pivotal Spring框架爆出远程代码执行漏洞 ，CVE编号CVE-2018-1270，问题出在客户端与中转服务端之间进行异步消息传输的简单通用协议STOMP上，由于该协议的身份验证机制有问题，允许应用程序在一个WebSocket终端利用一个简单的、内存型的STOMP代理，通过 spring-messaging模块利用STOMP协议。恶意用户（或攻击者）可以向代理生成消息，从而实施远程代码执行攻击。

Spring是一个开源的轻量级Java SE（Java 标准版本）/Java EE（Java 企业版本）开发应用框架，其目的是用于简化企业级应用程序开发。

STOMP (Simple (or Streaming) Text Oriented Message Protocol ) 是一种在客户端与中转服务端之间进行异步消息传输的简单通用协议; 它定义了服务端与客户端之间的格式化文本传输方式。

处理方法和建议

1、漏洞检测:

检测版本是否在5.0 到 5.0.4、 4.3 到4.3.14之间，或是更早的版本，如果是则存在漏洞。

2、漏洞修复建议：

升级到新版本：

5.0.x 系列升级到5.0.5

4.3.x系列升级到4.3.15

3、参考链接：

1）https://pivotal.io/security/cve-2018-1270

2）http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1270