网络与信息安全情况通报

　　第50期

　　北京网络与信息安全信息通报中心

　　2018年4月1日

　　

　　关于 Spring框架存在远程代码执行漏洞的预警通报

　　近日,Pivotal Spring官方发布安全公告,Spring框架中的spring-messaging模块存在远程代码执行的漏洞(CVE-20181270),Spring框架通过spring- messaging模块对Web Socket消息协议进行封装。攻击者可以通过建立Websocket连接并发送一条消息造成远程代码执行,并直接获取网站最高权限,进而窃取敏感信息、篡改网站页面。由于Spring框架被广泛应用于党政机关、企事业单位信息系统中,漏洞影响范围较大,易造成现实危害,对我国家安全和社会稳定造成严重影响。

　　针对该漏洞情况,请所有通报成员单位立即开展以下几方面工作:一是及时安装更新补丁,5.0.x用户升级到5.0.5版本, 4.3.x用户升级到4.315版本,消除漏洞影响；二是安全使用系统,系统使用前务必做好修复软件验证、系统数据备份等工作；三是及时上报情况,请各单位接通报后立即开展工作,如有发生网络安全事件及时向网信办报告或直接上报。

　　网信办联系人：张晓华，电话61772580

　　北京网络与信息安全联系人：金镁，电话53121239