安全公告编号:CNTA-2017-0067

近日，国家信息安全漏洞共享平台（CNVD）收录了Spring AMQP远程代码执行漏洞（CNVD-2017-27969对应CVE-2017-8045）与Spring Data REST远程代码执行漏洞（CNVD-2017-27968对应CVE-2017-8046）。综合利用漏洞，攻击者可能在目标服务器上远程执行任意代码。

一、漏洞情况分析

Spring AMQP 是基于 Spring 框架的AMQP消息解决方案；Spring Data REST 的目标是提供坚实的基础，从而使用 HTTPREST 语义来开放 CRUD 操作到你的 JPA 库管理的实体。自2017年9月19日以来，Pivotal团队披露了以下两个安全漏洞：

漏洞一：Spring AMQP远程代码执行漏洞（CNVD-2017-27969对应CVE-2017-8045）：

Spring AMQ的org.springframework.amqp.core.Message类存在反序列化漏洞，攻击者利用该漏可能实现远程代码执行攻击。

漏洞二：Spring Data REST远程代码执行漏洞（CNVD-2017-27968对应 CVE-2017-8046）：

Spring Data REST在org.springframework.data.rest.webmvc.config.PersistentEntityResourceHandlerMethodArgumentResolver.java中调用resolveArgument方法来处理json Patch请求，攻击者通过控制path并构造恶意的PATCH请求提交到部署了Spring-Data-REST的服务器，可以使用特制的JSON数据来执行任意的Java代码，从而实现远程代码执行攻击。

CNVD对上述漏洞的综合评级均为“高危”。

二、漏洞影响范围

Spring AMQP远程代码执行漏洞影响版本如下：

<1.7.4, 1.6.11, 1.5.7

Spring Data REST远程代码执行漏洞，影响版本如下：

<Spring Data REST 2.5.12,2.6.7, 3.0 RC3

<Spring Boot 2.0.0M4

<Spring Data Kay-RC3

三、漏洞处置建议

Spring AMQP漏洞修复版本为:

2.0.0, 1.7.4, 1.6.11, 1.5.7，详情参见官方链接：https://projects.spring.io/spring-amqp/

Spring Data REST漏洞修复版本为：

1.Spring Data REST 2.5.12,2.6.7, 3.0 RC3，

2.Spring Boot 2.0.0.M4

3.Spring Data Kay-RC3

详情参见官方链接：

https://projects.spring.io/spring-data-rest/

https://projects.spring.io/spring-boot/

http://projects.spring.io/spring-data/

附：参考链接：

https://pivotal.io/security/cve-2017-8045

https://pivotal.io/security/cve-2017-8046

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27968

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27969

本公告在编写过程中参考了杭州安恒公司的公开分析结果。