正文

【漏洞公告】Spring Security 身份认证绕过漏洞通告(CVE-2023-34034、CVE-2023-34035)

admin
admin V管理员 /0 评论 /59 阅读
1013
此篇文章发布距今已超过41天,您需要注意文章的内容或图片是否可用!

漏洞名称:

Spring Security 身份认证绕过漏洞(CVE-2023-34034、CVE-2023-34035)

组件名称:

Spring Security

安全公告链接:

https://spring.io/security/cve-2023-34035

https://spring.io/security/cve-2023-34034

官方解决方案:

已发布

漏洞分析

组件介绍

Spring Security是一个强大且广泛应用于Java应用程序的安全框架,是Spring框架的一个重要组成部分。它为保护Web应用程序、RESTful服务和其他类型的应用程序提供了全面的安全功能。

漏洞描述

近日,深信服安全团队监测到一则Spring Security官方发布安全补丁的通告,共修复了2个安全漏洞,其中包含2个高危漏洞的信息。

序号

漏洞名称

影响版本

严重等级

1

Spring Security 身份认证绕过漏洞(CVE-2023-34034)

6.1.0 -6.1.1

6.0.0 -6.0.4

5.8.0 -5.8.4

5.7.0 -5.7.9

5.6.0 -5.6.11

高危

2

Spring Security 身份认证绕过漏洞(CVE-2023-34035)

6.1.0 -6.1.1

6.0.0 -6.0.4

5.8.0 -5.8.4

高危

高危漏洞描述

Spring Security 身份认证绕过漏洞(CVE-2023-34034)

Spring Security存在使用未前缀的双通配符模式造成 WebFlux 安全绕过。在WebFlux的Spring Security配置中使用“**”作为模式,会导致Spring Security和Spring WebFlux之间模式不匹配,并可能造成安全绕过。

Spring Security身份认证绕过漏洞(CVE-2023-34035)

Spring Security 使用多个servlet时,可能会错误配置授权规则。导致攻击者可以通过绕过身份认证造成服务器失陷。

影响范围

Spring Security是一个强大且广泛应用于Java应用程序的安全框架,是Spring框架的一个重要组成部分。可能受漏洞影响的资产广泛分布于世界各地,曝出的漏洞都是高危漏洞,涉及用户量大,导致漏洞影响力很大。

解决方案

官方修复建议

Spring Security 身份认证绕过漏洞(CVE-2023-34034、CVE-2023-34035)

官方已发布修复方案,受影响的用户建议更新至安全版本:

链接如下:https://spring.io/projects/spring-security

临时修复建议

Spring Security 身份认证绕过漏洞(CVE-2023-34035)

如果您使用多个 servlet,而其中一个是 Spring MVC 的 DispatcherServlet,您可能会在启动时看到以下错误信息:

This method cannot decide whether these patterns are Spring MVC patterns or not.If this endpoint is a Spring MVC endpoint, please use `requestMatchers(MvcRequestMatcher)`;

otherwise, please use `requestMatchers (AntPathRequestMatcher)`.

请根据此错误信息进行修改。

例如,如果使用 requestMatchers(String) 指向非 Spring MVC 端点 /endpoint,则将其更改为 requestMatchers(newAntPathRequestMatcher("/endpoint")) 。

如果使用 requestMatchers(String) 指向 Spring MVC 端点(/mvc-endpoint),则将其更改为 requestMatchers(new MvcRequestMatcher(introspector,"/mvc-endpoint")),其中 introspector 是 @Autowired HandlerMappingIntrospector。

参考链接

https://spring.io/security/cve-2023-34035

https://spring.io/security/cve-2023-34034

时间轴

2023/7/19

深信服监测到Spring Security官方发布安全通告。

2023/7/19

深信服千里目安全技术中心发布漏洞通告。

点击阅读原文


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-宙飒天下网