Spring Security 大小写敏感校验鉴权绕过风险-低调大师

Spring Security 大小写敏感校验鉴权绕过风险

2024-11-21 219

漏洞描述

Spring Security 是开源的身份验证和访问控制框架。

由于java语言中String.toLowerCase()、String.toUpperCase()方法与语言地区(Locale)相关，在Spring Security受影响版本中调用该方法进行鉴权判断时未指定Locale参数。导致在特定地区的系统环境中（如土耳其语），Spring Security中的大小写字母转换将出现不一致，可能导致鉴权规则被绕过。

在新版本中Spring Security通过指定转换时的locale参数避免不一致问题。

漏洞名称	Spring Security 大小写敏感校验鉴权绕过风险
漏洞类型	使用具有不一致性实现的函数
发现时间	2024-11-20
漏洞影响广度	-
MPS编号	MPS-z0eg-x6fj
CVE编号	CVE-2024-38827
CNVD编号	-

影响范围

org.springframework.security.oauth:spring-security-oauth2@[1.0.0.RELEASE, 2.5.2.RELEASE]

org.springframework.security:spring-security-web@[6.3.0, 6.3.5)

org.springframework.security:spring-security-web@(-∞, 6.2.8)

org.springframework.security:spring-security-core@(-∞, 6.2.8)

org.springframework.security:spring-security-cas@[6.3.0, 6.3.5)

org.springframework.security:spring-security-core@[6.3.0, 6.3.5)

org.springframework.security:spring-security-cas@(-∞, 6.2.8)

org.springframework.security:spring-security-config@[6.3.0, 6.3.5)

org.springframework.security:spring-security-oauth2-client@[6.3.0, 6.3.5)

org.springframework.security:spring-security-config@(-∞, 6.2.8)

org.springframework.security:spring-security-ldap@(-∞, 6.2.8)

org.springframework.security:spring-security-crypto@[6.3.0, 6.3.5)

org.springframework.security:spring-security-crypto@(-∞, 6.2.8)

org.springframework.security:spring-security-ldap@[6.3.0, 6.3.5)

org.springframework.security:spring-security-oauth2-client@(-∞, 6.2.8)

org.springframework.security:spring-security-taglibs@[6.3.0, 6.3.5)

org.springframework.security:spring-security-taglibs@(-∞, 6.2.8)

修复方案

将组件 org.springframework.security:spring-security-crypto 升级至 6.3.5 及以上版本

将组件 org.springframework.security:spring-security-crypto 升级至 6.2.8 及以上版本

将组件 org.springframework.security:spring-security-web 升级至 6.3.5 及以上版本

将组件 org.springframework.security:spring-security-web 升级至 6.2.8 及以上版本

将组件 org.springframework.security:spring-security-core 升级至 6.2.8 及以上版本

将组件 org.springframework.security:spring-security-cas 升级至 6.3.5 及以上版本

将组件 org.springframework.security:spring-security-taglibs 升级至 6.2.8 及以上版本

将组件 org.springframework.security:spring-security-oauth2-client 升级至 6.2.8 及以上版本

将组件 org.springframework.security:spring-security-taglibs 升级至 6.3.5 及以上版本

将组件 org.springframework.security:spring-security-config 升级至 6.3.5 及以上版本

将组件 org.springframework.security:spring-security-config 升级至 6.2.8 及以上版本

将组件 org.springframework.security:spring-security-ldap 升级至 6.3.5 及以上版本

将组件 org.springframework.security:spring-security-ldap 升级至 6.2.8 及以上版本

将组件 org.springframework.security:spring-security-core 升级至 6.3.5 及以上版本

将组件 org.springframework.security:spring-security-cas 升级至 6.2.8 及以上版本

将组件 org.springframework.security:spring-security-oauth2-client 升级至 6.3.5 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-z0eg-x6fj

https://spring.io/security/cve-2024-38827

Commit

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

微信关注我们

原文链接：https://www.oschina.net/news/321369

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Steam++ 3.0.0-rc.13 已经发布，Steam 工具箱

Steam++ 3.0.0-rc.13 已经发布，Steam 工具箱此版本更新内容包括：更新说明因数字签名到期暂未续费，该版本可能被杀毒软件误报需手动加一下白名单因升级 .NET 9.0 Windows 的 TFM 发生一些变动，导致 Windows 版本运行环境体积增长了 30MB 调整网络检测 DNS 检测域名合法的正则验证调整网络测试延迟值指示的提示改进调整 ASF 插件文档链接可直接访问修复 ASF 插件一键下载在低版本 Windows 系统上报错问题修复网络加速因证书过期而导致的加速失效问题修复 ASF 插件 Release 版进程残留问题，启动优化，打开文件夹提示优化修复网络加速加速过程中证书过期没有正确处理的问题修复挂卡和令牌确认交易中可能出现系统代理更改时网络请求出错的问题修复 ASF 下载通知问题修复 Windows 关机时没有正常退出程序导致报错修复库存游戏新版 Steam 客户端编辑游戏功能保存不生效问题调整账号切换其它平台现在不在默认以管理员方式启动修复账号切换战网无法正确切换国服和国际服账号，并...

2024-12-02

361

前一篇JSON性能测试对比Fastjson2和DslJson，有评论提到和simdjson-java对比，那就测试走起. 说下simdjson-java这个库，之前也听说过，由于早前官网测试用的文本非常离谱，而且依赖JDK18+就没怎么关注，现在只要搜索simdjson（c++）基本上就能看到宣传最多的就是每秒千兆解析超越同类C++库甚至25倍的都有,不确定simdjson和simdjson-java性能差异有多大，下面只和simdjson-java做下对比测试。测试环境: openJdk21 + window10 + i5 单线程 jvm参数:-Xms3g -Xmx3g --add-opens=java.base/java.time=ALL-UNNAMED --add-modules=jdk.incubator.vector maven 依赖截止当前最新版本 <dependency> <groupId>org.simdjson</groupId> <artifactId>simdjson-java</artifactId...

2024-11-27

253

资源下载

更多资源

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。