Spring 处理 SpEL 存在拒绝服务漏洞
漏洞描述
Spring 是一个开源的 Java 应用程序框架,用于构建企业级 Java 应用程序和 Web 应用程序。
受影响版本中由于 OperatorMatches#OperatorMatches 方法未对 SpEL 表达式的内容长度进行限制,攻击者通过传入包含大量重复运算符的 SpEL 表达式可能会导致 OutOfMemoryError,例如:'xyz' * 941859717。
补丁版本通过将 SpEL 表达式长度限制为256个字符修复此漏洞。
漏洞名称 | Spring 处理 SpEL 存在拒绝服务漏洞 |
---|---|
漏洞类型 | 拒绝服务 |
发现时间 | 2023-03-24 |
漏洞影响广度 | 广 |
MPS编号 | MPS-2022-62833 |
CVE编号 | CVE-2023-20861 |
CNVD编号 | - |
影响范围
org.springframework:spring-core@[6.0.0, 6.0.7)
org.springframework:spring-core@[5.3.0, 5.3.26)
org.springframework:spring-core@[5.2.0.RELEASE, 5.2.23.RELEASE)
修复方案
升级org.springframework:spring-core到 5.2.23.RELEASE、5.3.26、6.0.7 或更高版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-62833
https://nvd.nist.gov/vuln/detail/CVE-2023-20861
https://spring.io/security/cve-2023-20861
https://github.com/spring-projects/spring-framework/commit/8010de8b63057af06984df5c7550ba99d006e909
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
魔豆文库 moredoc v1.2.1 发布,开源文库系统解决方案
魔豆文库MOREDOC,使用 Go 语言开发实现的文库解决方案,为dochub文库的重构版本,支持 office (全部类型)、PDF、TXT、EPUB、MOBI 等多种文档格式的在线阅读浏览,支持无限级分类、文档批量上传、批量转换、全文搜索等功能,拥有简洁美观的用户视觉和功能体验。 技术栈 Golang :gin + gRPC + GORM Vue.js : nuxt2 + element-ui Database : MySQL 5.7 升级日志 支持配置和显示公网安备备案 管理后台banner管理图片样式调整 可变更积分名称,不再以魔豆命名 文档搜索结果,可控制显示页数 支持设置虚拟注册用户数,以避免建站初期注册用户数过少的窘境 修复验证码相关配置不生效的问题 后台可以控制是否显示用户数量 支持隐藏首页中间的分类展示 支持在网站全局底部设置简要版权声明内容 演示站点 网址: https://moredoc.mnt.ltd 管理员账号: admin 管理员密码: mnt.ltd 演示站点,每天凌晨 1:00 ~ 6:00,每隔一小时重置一次全部数据 开源地址 Gitee - http...
- 下一篇
ChatGPT 泄露对话记录,CEO:开源库的错误
OpenAI 近日证实,他们遭遇了一次隐私泄漏问题,导致 ChatGPT 泄露了随机用户的对话历史记录。 ChatGPT 会在界面左侧显示你过去与 AI 进行过的对话,并将内容保存在系统中,方便你时不时回顾之前的内容。只不过最近有用户发现,自己的聊天历史中显示了不曾发生过的对话内容,这些内容似乎来自其他用户。与此同时,ChatGPT 在同一天也出现了一些故障,导致用户无法访问。 事件发生在本周一,但到了周三 OpenAI 才对此作出回应,确认了用户对话内容会意外出现在其他用户的历史记录中。 这个问题发生后,不少用户都担心这个问题是否是由黑客造成的,日前 Open AI 的首席执行官 Sam Altman 就亲自发推文表示: 由于一个开源库的错误,我们在 ChatGPT 中出现了一个重大问题,现在已经发布了一个修复程序,我们刚刚完成了验证。 一小部分用户能够看到其他用户的对话历史的标题。 目前 OpenAI 还没有公布具体是哪个开源库出现了问题,以及我们仍不清楚该漏洞除了泄漏对话记录,是否还泄漏了用户的个人信息,或者是 ChatGPT Plus 用户的信用卡等支付信息。 PS:关于这个漏...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- CentOS7设置SWAP分区,小内存服务器的救世主
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS关闭SELinux安全模块
- Docker安装Oracle12C,快速搭建Oracle学习环境
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程