天创培训:您身边的信息安全培训专家!
行业动态
开发人员需注意:Spring Data REST曝远程代码执行(RCE)漏洞

  开发人员需注意:Spring Data REST曝远程代码执行(RCE)漏洞

  根据lgtm.com在上周四发布的博客文章来看,一个严重的远程代码执行(RCE)漏洞影响了Pivotal 公司旗下多个产品和组件。Pivotal 公司成立于2013年,其拥有的轻量级Java开发框架Spring是CISP培训世界上最流行的Web应用程序框架之一。

  lgtm.com的安全研究人员Man Yue Mo表示,如果某台计算机运行着使用Spring Data REST构建的应用程序,那么攻击者便可以利用这个漏洞在该计算机上执行任意命令。这个漏洞与Apache Struts中存在的漏洞类似,而后者曾在去年导致美国三大征信机构之一的Equifax公司遭遇了严重的数据泄露。

  据研究与分析公司RedMonk称,Pivotal公司的Spring Framework是构建Web应用程序最流行的平台之一。而Spring Data REST则是开发人员构建Java应用程序的附加组件集合,这些应用程序为底层Spring Data存储库提供RESTful API 。这种接口被非常广泛地使用,几乎每个现代Web应用程序都将包含通过REST接口进行通信的组件,比如在线旅行预订系统、移动应用程序和网上银行服务。

  此漏洞是与Data REST组件中Spring表达式语言(SpEL)的使用方式有关,由于缺少对用户输入的验证导致攻击者能够在任何运行使用Spring Data REST构建的应用程序的计算机上执行任意命令。

  漏洞被标识为CVE-2017-8046,早在去年9月份就已经被公开披露,但Pivotal 公司在最近再次对受影响的产品和组件列表进行了更新,这也使得一些安全公司再次对其进行了关注。

  Man Yue Mo解释说,Spring Data REST中的这个漏洞很不幸极其容易被利用。由于RESTful API通常可公开访问,因此它允许攻击者能够轻松地获得对目标计算机的控制权,并窃取用户的敏感数据。

  以下是受漏洞影响的Spring产品和组件(Pivotal 公司在3月6日更新的列表):

  Spring Data REST:2.6.9 (Ingalls SR9)、3.0.1 (Kay SR1)之前版本;

  Spring Boot(如果使用Spring Data REST模块):1.5.9、2.0 M6之前版本。

  Pivotal 公司在最新的公告中称,已针对受该漏洞影响的产品和组件发布了对应的安全补丁,并建议受影响用户尽快进行更新。