Spring Security存在认证绕过漏洞 CVE-2021-22096

文章目录

  • 0.前言
  • 1.参考文档
  • 2.基础介绍
    • 漏洞影响范围:
    • 官方说明:
    • 修复版本:
    • 漏洞利用步骤:
    • 修复方式:
  • 3.解决方案

在这里插入图片描述

0.前言

背景:项目被扫到Spring Boot 的漏洞,严格的说应该是Spring Security 组件的漏洞,安全部门要求快速修复,查阅了一些资料,整理以下。

CVE-2021-22096是一个针对Spring Security的安全漏洞。Spring Security是一个在Java应用程序中提供安全服务的框架,它提供了一整套的安全性功能,包括认证和授权等。

根据CVE(Common Vulnerabilities and Exposures)数据库的描述,CVE-2021-22096主要影响Spring Security 5.5.0到5.5.1版本,以及Spring Security 5.4.0到5.4.7版本。这个漏洞主要存在于Spring Security处理OAuth 2.0客户端注册的方式中。如果攻击者能够以已注册的OAuth 2.0客户端的身份进行身份验证,他们就可能会获取到更高的权限。

Spring Security的开发团队已经在5.5.2及5.4.8版本中修复了这个问题,建议所有使用受影响版本的用户尽快升级到新的版本以避免受到这个漏洞的影响。

对于开发者来说,安全性是一个非常重要的问题,任何一个小的漏洞都可能会被攻击者利用,因此,开发者应当时刻关注相关的安全更新,并尽快采取措施进行修复和升级。同时,开发者也应该在开发过程中注重安全性,尽量避免这类漏洞的产生。

1.参考文档

在这里插入图片描述
CVE(Common Vulnerabilities and Exposures,公共漏洞与暴露)的记录 https://www.cve.org/CVERecord?id=CVE-2021-22096
CVE是一个公开的全球漏洞数据库,每当发现一个新的安全漏洞,CVE都会给它分配一个唯一的ID以便于跟踪和引用。CVE的格式通常为"CVE-年份-编号"。

根据CVE-2021-22096的描述,这是一个影响VMware vCenter Server的漏洞。 VMware提交的 。

这个漏洞是一种服务器端请求伪造(SSRF)漏洞,这种漏洞会让攻击者能够向被攻击者服务器能访问的内部网络发送伪造的HTTP或HTTPS请求。这可能会导致未授权的信息泄露或者被攻击者的服务器被用于攻击内部网络。

这个漏洞的CVSS(Common Vulnerability Scoring System,公共漏洞评分系统)基础分数为8.6/10,表示这是一个相当严重的漏洞。CVSS是一个为了量化(衡量、评分)漏洞的严重程度和紧急性而开发的一个系统。

2.基础介绍

CVE-2021-22096是一个影响Spring Security的安全漏洞。Spring Security是一个被广泛使用的Java安全框架,它提供了许多强大的安全性功能,如身份验证和授权。

漏洞影响范围:

这个漏洞主要影响Spring Security 5.5.0到5.5.1版本,以及Spring Security 5.4.0到5.4.7版本

官方说明:

这个漏洞存在于Spring Security处理OAuth 2.0客户端注册的方式中。如果攻击者能够以已注册的OAuth 2.0客户端的身份进行身份验证,他们就可能会获取到更高的权限。

修复版本:

Spring Security的开发团队已经在5.5.2和5.4.8版本中修复了这个问题。

漏洞利用步骤:

具体的漏洞利用步骤可能会涉及到技术细节,一般来说,攻击者需要首先找到一个已注册的OAuth 2.0客户端,然后以该客户端的身份进行身份验证,以此来提升他们的权限。

修复方式:

Spring Security的用户应该尽快升级到最新的版本。对于使用5.5.0到5.5.1版本的用户,应该升级到5.5.2版本。对于使用5.4.0到5.4.7版本的用户,应该升级到5.4.8版本。

一般来说,修复这类漏洞的最佳方式就是升级到最新的版本。如果由于某些原因无法升级,用户也可以尝试禁用或限制受影响的功能,以此来减轻漏洞的影响。在这个案例中,用户可以考虑限制或增加OAuth 2.0客户端注册的安全措施。

CVE-2021-22096是一个影响Spring Security的安全漏洞。这个漏洞的存在,使得攻击者能以已注册的OAuth 2.0客户端的身份进行身份验证,从而可能获取更高的权限。这主要是因为在处理OAuth 2.0客户端注册的过程中,Spring Security没有正确地进行权限验证。

此类漏洞的产生通常是由于在设计和实现阶段,对安全要求理解不足或疏忽,导致在处理客户端注册时没有进行足够的安全性检查。

3.解决方案

CVE-2021-22096是一个影响Spring Security的安全漏洞。针对这个问题,官方已经发布了解决方案:

  1. 升级修复:Spring Security的用户应该尽快升级到最新的版本。对于使用5.5.0到5.5.1版本的用户,应该升级到5.5.2版本。对于使用5.4.0到5.4.7版本的用户,应该升级到5.4.8版本。

2.临时解决方案 限制OAuth 2.0客户端注册:如果由于某些原因无法立即升级,用户可以考虑限制或增加OAuth 2.0客户端注册的安全措施,以此来减轻漏洞的影响

  1. 只允许受信任的应用注册为OAuth 2.0客户端。
  2. 为客户端注册过程添加人工审核步骤,以确保只有合法和符合公司策略的应用可以注册。
  3. 限制每个用户或者IP地址在一定时间内可以注册的OAuth 2.0客户端数量。
  4. 添加一个黑名单或者白名单系统,只允许白名单内的应用注册,或者禁止黑名单内的应用注册。 这个是最有效的解决方案
  1. 审计日志:对于可能已经被这个漏洞影响的系统,管理员可以查看其审计日志,以确定是否有任何未授权的用户试图利用这个漏洞。

升级到最新版本是最方便,也最能有效避免漏洞影响的解决方案。如果无法立即升级,也应采取其他必要的安全措施,以减少这个漏洞可能带来的影响。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/97549.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

小程序隐私保护授权处理方式之弹窗组件

欢迎点击关注-前端面试进阶指南:前端登顶之巅-最全面的前端知识点梳理总结 *分享一个使用比较久的🪜 小程序隐私保护授权弹窗组件 调用wx.getUserProfile进行授权时,返回错误信息:{errMsg: “getUserProfile:fail api scope is…

宿舍固定资产怎么管理

宿舍固定资产的管理需要做到以下几点: 固定资产购置:宿舍的固定资产包括设备、家具、厨房用品等,购置时需要注意质量和价格,并进行登记。 固定资产登记:将宿舍的固定资产名称、型号、规格、数量、单价、金额、…

详细说明OSPF常见的LSA

目录 1类LSA (Router LSA)介绍 总结:1类LSA 2类LSA (Network LSA)介绍 总结:2类LSA 3类LSA (Summary LSA)介绍 总结:3类LSA 5类LSA (ase LSA&…

layUI 中 穿梭框无法获取值的细节问题

初始化的时候一定要指定id,不然就会出现无法调用 获得右侧数据和实例重载的方法

高忆管理:A股上市券商“中考”成绩放榜,最大黑马是它

A股上市券商2023年半年报发表8月30日晚正式收官。全体上看,43家券商中有10家营收超百亿元,多达30家完成了营收及净利润的双增。头部券商中,我国银河近年来运营成绩排名稳步提高;区域性券商中,天风证券成最大黑马&#…

经典文献阅读之--FastSAM(快速分割一切)

0. 简介 MetaAI提出的能够“分割一切”的视觉基础大模型SAM提供了很好的分割效果,为探索视觉大模型提供了一个新的方向。虽然SAM的效果很好,但由于SAM的backbone使用了ViT,导致推理时显存的占用较多,推理速度偏慢,对硬…

多图详解VSCode搭建Java开发环境

大家好,我是爱编程的喵喵。双985硕士毕业,现担任全栈工程师一职,热衷于将数据思维应用到工作与生活中。从事机器学习以及相关的前后端开发工作。曾在阿里云、科大讯飞、CCF等比赛获得多次Top名次。现为CSDN博客专家、人工智能领域优质创作者。喜欢通过博客创作的方式对所学的…

LeetCode--HOT100题(46)

目录 题目描述:114. 二叉树展开为链表(中等)题目接口解题思路代码 PS: 题目描述:114. 二叉树展开为链表(中等) 给你二叉树的根结点 root ,请你将它展开为一个单链表: 展开后的单链…

qt day 1

this->setWindowIcon(QIcon("D:\\zhuomian\\wodepeizhenshi.png"));//設置窗口的iconthis->setWindowTitle("鵬哥快聊");//更改名字this->setFixedSize(500,400);//設置尺寸QLabel *qlnew QLabel(this);//創建一個標簽ql->resize(QSize(500,20…

Stable Diffusion WebUI 整合包

现在网络上出现的各种整合包只是整合了运行 Stable Diffusion WebUI(以下简称为 SD-WebUI)必需的 Python 和 Git 环境,并且预置好模型,有些整合包还添加了一些常用的插件,其实际与手动进行本地部署并没有区别。 不过&a…

[linux实战] 华为云耀云服务器L实例 Java、node环境配置

系列文章目录 第一章 [linux实战] 华为云耀云服务器L实例 Java、node环境配置 文章目录 系列文章目录前言一、任务拆解二、修改密码三、配置安全规则四、远程登录并更新apt五、安装、配置JDK环境5.1、安装openjdk,选择8版本5.2、检查jdk配置 六、安装、配置git6.1、安装git6.2…

基于Java+SpringBoot+Mybaties-plus+Vue+ElementUI 高校汉服租赁网站的 设计与实现

一.项目介绍 高校汉服租赁网站分为普通用户以及管理员两类 普通用户: 注册、登录系统、查看汉服首页发帖公告信息、 交流论坛(发帖、查看帖子、评论)、 公告咨询(查看公告以及评论)、 汉服信息(查…

CotEditor for mac 4.0.1 中文版(开源文本编辑器)

coteditorformac是一款简单实用的基于Cocoa的macOS纯文本编辑器,coteditormac版本可以用来编辑网页、结构化文本、程序源代码等文本文件,使用起来非常方便。 CotEditor for Mac具有正则表达式搜索和替换、语法高亮、编码等实用功能,而CotEdi…

IntelliJ IDEA快捷键大全 + 动图演示,建议收藏!

本文参考了 IntelliJ IDEA 的官网,列举了IntelliJ IDEA(Windows 版)的所有快捷键。并在此基础上,为 90% 以上的快捷键提供了动图演示,能够直观的看到操作效果。 该快捷键共分 16 种,可以方便的按各类查找自…

redis windows 版本安装

1. 下载windows安装包并解压 如果是Linux版本可以直接到官网下载,自3.x起官网和微软网站就没有redis安装包更新了,好在github有开发者在编译发布更新(目前最新有5.0.9版本可下),地址:redis windows 5版本下…

微软 Turing Bletchley v3视觉语言模型更新:必应搜索图片更精准

据微软新闻稿透露,在推出第三代Turing Bletchley视觉语言模型后,微软计划逐步将其整合到Bing等相关产品中,以提供更出色的图像搜索体验。这款模型最初于2021年11月面世,并在2022年秋季开始邀请用户测试。 凭借用户的反馈和建议&am…

SpringBoot初级开发--整体应用的统一性异常管理(7)

在整个系统中,通常会要求有统一性的异常抛出,统一的异常格式,统一的异常界面,而不是把整个堆栈错误信息抛出,这样对整个系统的安全性以及错误定位都非常不好,接下来我们紧接上一章的源码,加上统…

解释基本的3D理论

推荐:使用 NSDT场景编辑器 快速搭建3D应用场景 坐标系 3D 本质上是关于 3D 空间中形状的表示,并使用坐标系来计算它们的位置。 WebGL 使用右侧坐标系 — 轴指向右侧,轴指向上方,轴指向屏幕外,如上图所示。xyz 对象 …

Unity ShaderGraph教程——进阶shader

1.水面(一) 公式:场景深度 节点深度 — 屏幕空间位置的W向量 半透明物体与不透明物体的相交边缘 原理:场景深度 节点深度包含透明像素,屏幕空间w向量不包含透明像素。 注意:需要在UniversalRP-xxxQuali…

swagger 接口测试,用 python 写自动化时该如何处理?

在使用Python进行Swagger接口测试时,可以使用requests库来发送HTTP请求,并使用json库和yaml库来处理响应数据。以下是一个简单的示例代码: import requests import json import yaml# Swagger API文档地址和需要测试的接口路径 swagger_url …