首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2020-5421 | Spring Framework反射型文件下載漏洞通告

發布時間 2020-09-22

0x00 漏洞概述

CVE   ID

CVE-2020-5421

   

2020-09-22

   

RFD

   級

高危

遠程利用

影響范圍

Spring Framework

5.2.0 - 5.2.8

5.1.0 - 5.1.17

5.0.0 - 5.0.18

4.3.0 - 4.3.28

及更早期的版本

 

Spring Framework是一個Java/Java EE/.NET的分層應用程序框架。該框架基于Expert One-on-One Java EE Design and Development(ISBN 0-7645-4385-7)一文中的代碼,并最初由Rod Johnson開發。Spring Framework提供了一個簡易的開發方式,這種開發方式將避免那些可能致使底層代碼變得繁雜混亂的大量屬性文件和幫助類。

0x01 漏洞詳情

image.png 

 

202009月17日,VMware發布安全公告,Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28及更早期的版本中存在一個反射型文件下載漏洞,漏洞跟蹤為CVE-2020-5421。該漏洞可通過使用jsessionid路徑參數繞過RFD安全防護策略。

此外,針對RFD攻擊,還可以采取一些其他的方法:

    • 編碼而不是轉義JSON響應。這是OWASP XSS的建議。有關如何使用Spring進行操作的示例,請參見https://github.com/rwinch/spring-jackson-owasp。

    • 將后綴模式匹配配置為關閉或僅限于顯式注冊的后綴。

    • 使用內容屬性useJafignoreUknownPathExtension設置為false來配置內容協商,這將導致擴展名未知的URL產生406響應。但是如果自然希望URL的末尾有一個點,將不能采用此種方法。

    • 在響應中添加“ X-Content-Type-Options:nosniff”標頭。Spring Security 4默認情況采取此種方式。

0x02 處置建議

目前VMware官方已發布安全更新,建議將Spring Framework升級到新的版本:

5.2.9

5.1.18

5.0.19

4.3.29

下載鏈接

https://github.com/spring-projects/spring-framework/releases

0x03 相關新聞

https://spring.io/blog/2015/10/15/spring-framework-4-2-2-4-1-8-and-3-2-15-available-now

0x04 參考鏈接

https://tanzu.vmware.com/security/cve-2020-5421

https://tanzu.vmware.com/security/cve-2015-5211

https://www.security-database.com/detail.php?alert=CVE-2015-5211

0x05 時間線

2020-09-17  VMware發布安全公告

2020-09-22  VSRC發布安全通告

 

image.png 

 

 

 

 

 

 

 

 

上一篇 下一篇