GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

CVE-2020-5421 | Spring Framework反射型文件下载缝隙公告

颁布功夫 2020-09-22

0x00 缝隙概述

CVE ID

CVE-2020-5421

时间

2020-09-22

类型

RFD

等级

高危

远程利用

是

影响领域

Spring Framework

5.2.0 - 5.2.8

5.1.0 - 5.1.17

5.0.0 - 5.0.18

4.3.0 - 4.3.28

以及更早期的版本

Spring Framework是一个Java/Java EE/.NET的分层利用法式框架。该框架基于Expert One-on-One Java EE Design and Development（ISBN 0-7645-4385-7）一文中的代码，并最初由Rod Johnson开发。Spring Framework提供了一个简易的开发方式，这种开发方式将预防那些可能以至底层代码变得繁芜混乱的大量属性文件和援手类。

0x01 缝隙详情

2020年09月17日，VMware颁布安全布告，Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28及更早期的版本中存在一个反射型文件下载缝隙，缝隙跟踪为CVE-2020-5421。该缝隙可通过使用jsessionid蹊径参数绕过RFD安全防护战术。

此表，针对RFD攻击，还能够采取一些其他的步骤：

编码而不是转义JSON响应。这是OWASP XSS的建议。有关若何使用Spring进行操作的示例，请拜见https://github.com/rwinch/spring-jackson-owasp。
将后缀模式匹配配置为关关或仅限于显式注册的后缀。
使用内容属性“useJaf”和“ignoreUknownPathExtension“设置为false来配置内容协商，这将导致扩大名未知的URL产生406响应。但是若是天然但愿URL的末尾有一个点，将不能选取此种步骤。
在响应中增长“ X-Content-Type-Options：nosniff”标头。Spring Security 4默认情况采取此种方式。

0x02 措置建议

目前VMware官方已颁布安全更新，建议将Spring Framework升级到新的版本：

5.2.9

5.1.18

5.0.19

4.3.29

下载链接：

https://github.com/spring-projects/spring-framework/releases

0x03 有关新闻

https://spring.io/blog/2015/10/15/spring-framework-4-2-2-4-1-8-and-3-2-15-available-now

0x04 参考链接

https://tanzu.vmware.com/security/cve-2020-5421

https://tanzu.vmware.com/security/cve-2015-5211

https://www.security-database.com/detail.php?alert=CVE-2015-5211

0x05 功夫线

2020-09-17 VMware颁布安全布告

2020-09-22 VSRC颁布安全公告

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】