关于 Spring框架存在远程代码执行漏洞的预警通报(转)
时间:2018-04-16
网络与信息安全情况通报
第50期
北京网络与信息安全信息通报中心
2018年4月1日
关于 Spring框架存在远程代码执行漏洞的预警通报
近日,Pivotal Spring官方发布安全公告,Spring框架中的spring-messaging模块存在远程代码执行的漏洞(CVE-20181270),Spring框架通过spring- messaging模块对Web Socket消息协议进行封装。攻击者可以通过建立Websocket连接并发送一条消息造成远程代码执行,并直接获取网站最高权限,进而窃取敏感信息、篡改网站页面。由于Spring框架被广泛应用于党政机关、企事业单位信息系统中,漏洞影响范围较大,易造成现实危害,对我国家安全和社会稳定造成严重影响。
针对该漏洞情况,请所有通报成员单位立即开展以下几方面工作:一是及时安装更新补丁,5.0.x用户升级到5.0.5版本, 4.3.x用户升级到4.315版本,消除漏洞影响;二是安全使用系统,系统使用前务必做好修复软件验证、系统数据备份等工作;三是及时上报情况,请各单位接通报后立即开展工作,如有发生网络安全事件及时向网信办报告或直接上报。
网信办联系人:张晓华,电话61772580
北京网络与信息安全联系人:金镁,电话53121239