一、漏洞概述
CVE ID | CVE-2023-20860 | 發現時間 | 2023-03-22 |
類 型 | 安全繞過 | 等 級 | 嚴重 |
攻擊向量 | 網路 | 所需許可權 | 無 |
攻擊複雜度 | 低 | 使用者互動 | 無 |
PoC/EXP | 在野利用 |
Spring Framework是一個Java平臺框架,它為開發Java應用程序提供全面的基礎架構支持。
3月22日,啟明星辰VSRC監測到Spring項目發佈安全公告,修復了Spring Framework中的一個安全繞過漏洞(CVE-2023-20860),該漏洞的CVSSv3評分為9.1。在帶有mvcRequestMatcher的Spring Security配置中使用無前綴雙萬用字元模式會導致Spring Security和Spring MVC之間的模式匹配不匹配,並可能導致安全繞過。
此外,Spring項目還修復了Spring Framework拒絕服務漏洞(CVE-2023-20861,中危),可以通過特製的 SpEL 表達式導致拒絕服務;以及Spring Vault資訊洩露漏洞(CVE-2023-20859,中危),當應用程序在試圖吊銷Vault批處理令牌時,可能導致將敏感資訊插入到日誌檔案中。
二、影響範圍
受影響產品 | Spring Framework | 修復版本 |
CVE-2023-20860 | 6.0.0 – 6.0.6、5.3.0 – 5.3.25(注:5.3 之前的版本不受影響) | Spring Framework >= 6.0.7 Spring Framework >= 5.3.26 |
CVE-2023-20861 | 6.0.0 – 6.0.6、5.3.0 – 5.3.25、5.2.0.RELEASE -5.2.22.RELEASE以及不受支持的舊版本 | Spring Framework 6.0.x >= 6.0.7 Spring Framework 5.3.x>= 5.3.26 Spring Framework 5.2.x >= 5.2.23.RELEASE |
受影響產品 | Spring Vault | Spring Cloud Vault | Spring Cloud Config |
CVE-2023-20859 | 3.0.0 – 3.0.1、2.3.0 – 2.3.2 以及2.3.0之前版本 | 4.0.0、3.1.0 – 3.1.2以及3.1.0 之前版本 | 4.0.0 – 4.0.1、3.1.0 – 3.1.6 以及3.1.0之前版本 |
修復版本 | Spring Vault版本3.0.2、2.3.3 | 無 |
三、安全措施3.1 升級版本
受影響使用者可參考上表及時升級到相應修復版本。
下載連接:
https://spring.io/projects/spring-framework
3.2 臨時措施
針對CVE-2023-20859:
Spring Vault 3.0.x使用者:應升級到3.0.2。傳遞使用 Spring Vault 時,將spring-vault-core的依賴版本固定為3.0.2。
Spring Vault 2.3.x使用者:應升級到2.3.3。傳遞使用 Spring Vault 時,將spring-vault-core的依賴版本固定為2.3.3。
其它使用者:應使用服務令牌或將org.springframework.vault.authentication.LifecycleAwareSessionManager日誌記錄器的日誌級別至少提高到ERROR。
3.3 通用建議
定期更新系統補丁,減少系統漏洞,提升伺服器的安全性。
加強系統和網路的訪問控制,修改防火牆策略,關閉非必要的應用埠或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。
使用企業級安全產品,提升企業的網路安全性能。
加強系統使用者和許可權管理,啟用多因素認證機制和最小許可權原則,使用者和軟體許可權應保持在最低限度。
啟用強密碼策略並設置為定期修改。
3.4 參考連結
https://spring.io/security/cve-2023-20860
https://spring.io/security/cve-2023-20861
https://spring.io/security/cve-2023-20859
