关于Spring AMQP与Spring Data REST存在远程代码执行漏洞的安全公告

2017-09-23 13:40:28

安全公告编号:CNTA-2017-0067

近日,国家信息安全漏洞共享平台(CNVD)收录了Spring AMQP远程代码执行漏洞(CNVD-2017-27969对应CVE-2017-8045)与Spring Data REST远程代码执行漏洞(CNVD-2017-27968对应CVE-2017-8046)。综合利用漏洞,攻击者可能在目标服务器上远程执行任意代码。

一、漏洞情况分析

Spring AMQP 是基于 Spring 框架的AMQP消息解决方案;Spring Data REST 的目标是提供坚实的基础,从而使用 HTTPREST 语义来开放 CRUD 操作到你的 JPA 库管理的实体。自2017年9月19日以来,Pivotal团队披露了以下两个安全漏洞:

漏洞一:Spring AMQP远程代码执行漏洞(CNVD-2017-27969对应CVE-2017-8045):

Spring AMQ的org.springframework.amqp.core.Message类存在反序列化漏洞,攻击者利用该漏可能实现远程代码执行攻击。

漏洞二:Spring Data REST远程代码执行漏洞(CNVD-2017-27968对应 CVE-2017-8046):

Spring Data REST在org.springframework.data.rest.webmvc.config.PersistentEntityResourceHandlerMethodArgumentResolver.java中调用resolveArgument方法来处理json Patch请求,攻击者通过控制path并构造恶意的PATCH请求提交到部署了Spring-Data-REST的服务器,可以使用特制的JSON数据来执行任意的Java代码,从而实现远程代码执行攻击。

CNVD对上述漏洞的综合评级均为“高危”。

二、漏洞影响范围

Spring AMQP远程代码执行漏洞影响版本如下:

<1.7.4, 1.6.11, 1.5.7

Spring Data REST远程代码执行漏洞,影响版本如下:

<Spring Data REST 2.5.12,2.6.7, 3.0 RC3

<Spring Boot 2.0.0M4

<Spring Data Kay-RC3

三、漏洞处置建议

Spring AMQP漏洞修复版本为:

2.0.0, 1.7.4, 1.6.11, 1.5.7,详情参见官方链接:https://projects.spring.io/spring-amqp/

Spring Data REST漏洞修复版本为:

1.Spring Data REST 2.5.12,2.6.7, 3.0 RC3,

2.Spring Boot 2.0.0.M4

3.Spring Data Kay-RC3

详情参见官方链接:

https://projects.spring.io/spring-data-rest/

https://projects.spring.io/spring-boot/

http://projects.spring.io/spring-data/

附:参考链接:

https://pivotal.io/security/cve-2017-8045

https://pivotal.io/security/cve-2017-8046

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27968

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27969


本公告在编写过程中参考了杭州安恒公司的公开分析结果。