【漏洞公告】Spring Security 身份认证绕过漏洞通告(CVE-2023-34034、CVE-2023-34035)
【漏洞公告】Spring Security 身份认证绕过漏洞通告(CVE-2023-34034、CVE-2023-34035)
深瞳漏洞实验室 深信服千里目安全技术中心 2023-07-19 19:35
漏洞名称:
Spring Security 身份认证绕过漏洞(CVE-2023-34034、CVE-2023-34035)
组件名称:
Spring Security
安全公告链接:
https://spring.io/security/cve-2023-34035
https://spring.io/security/cve-2023-34034
官方解决方案:
已发布
漏洞分析
组件介绍
Spring Security是一个强大且广泛应用于Java应用程序的安全框架,是Spring框架的一个重要组成部分。它为保护Web应用程序、RESTful服务和其他类型的应用程序提供了全面的安全功能。
漏洞描述
近日,深信服安全团队监测到一则Spring Security官方发布安全补丁的通告,共修复了2个安全漏洞,其中包含2个高危漏洞的信息。
|
序号 |
漏洞名称 |
影响版本 |
严重等级 |
|
1 |
Spring Security 身份认证绕过漏洞(CVE-2023-34034) |
6.1.0 – 6.1.1 6.0.0 – 6.0.4 5.8.0 – 5.8.4 5.7.0 – 5.7.9 5.6.0 – 5.6.11 |
高危 |
|
2 |
Spring Security 身份认证绕过漏洞(CVE-2023-34035) |
6.1.0 – 6.1.1 6.0.0 – 6.0.4 5.8.0 – 5.8.4
|
高危 |
高危漏洞描述
Spring Security 身份认证绕过漏洞(CVE-2023-34034)
Spring Security存在使用未前缀的双通配符模式造成 WebFlux 安全绕过。在WebFlux的Spring Security配置中使用“**”作为模式,会导致Spring Security和Spring WebFlux之间模式不匹配,并可能造成安全绕过。
Spring Security身份认证绕过漏洞(CVE-2023-34035)
Spring Security 使用多个servlet时,可能会错误配置授权规则。导致攻击者可以通过绕过身份认证造成服务器失陷。
影响范围
Spring Security是一个强大且广泛应用于Java应用程序的安全框架,是Spring框架的一个重要组成部分。可能受漏洞影响的资产广泛分布于世界各地,曝出的漏洞都是高危漏洞,涉及用户量大,导致漏洞影响力很大。
解决方案
官方修复建议
Spring Security 身份认证绕过漏洞(CVE-2023-34034、CVE-2023-34035)
官方已发布修复方案,受影响的用户建议更新至安全版本:
链接如下:https://spring.io/projects/spring-security
临时修复建议
Spring Security 身份认证绕过漏洞(CVE-2023-34035)
如果您使用多个 servlet,而其中一个是 Spring MVC 的 DispatcherServlet,您可能会在启动时看到以下错误信息:
This method cannot decide whether these patterns are Spring MVC patterns or not.If this endpoint is a Spring MVC endpoint, please use requestMatchers(MvcRequestMatcher);
otherwise, please use requestMatchers (AntPathRequestMatcher).
请根据此错误信息进行修改。
例如,如果使用 requestMatchers(String) 指向非 Spring MVC 端点 /endpoint,则将其更改为 requestMatchers(newAntPathRequestMatcher(“/endpoint”)) 。
如果使用 requestMatchers(String) 指向 Spring MVC 端点(/mvc-endpoint),则将其更改为 requestMatchers(new MvcRequestMatcher(introspector,”/mvc-endpoint”)),其中 introspector 是 @Autowired HandlerMappingIntrospector。
参考链接
https://spring.io/security/cve-2023-34035
https://spring.io/security/cve-2023-34034
时间轴
2023/7/19
深信服监测到Spring Security官方发布安全通告。
2023/7/19
深信服千里目安全技术中心发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。