-
09/04/2020
-
93
-
600 bài viết
Xuất hiện lỗ hổng nghiêm trọng cao ảnh hưởng đến framework Spring
Spring Security là một phần thiết yếu của nhiều ứng dụng Java, cung cấp một framework mạnh mẽ và có thể tùy chỉnh để xác thực và ủy quyền. Tuy nhiên, mới đây, một lỗ hổng an ninh có mức độ nghiêm trọng cao đã được phát hiện, ảnh hưởng đến nhiều phiên bản của framework này.
Các điều kiện khiến ứng dụng có thể bị hacker tấn công lợi dụng CVE-2023-20862 gồm:
CVE-2023-20862: lỗi SecurityContext trống không được lưu đúng cách khi đăng xuất
CVE-2023-20862 là một lỗ hổng an ninh ảnh hưởng đến Spring Security, cụ thể là các phiên bản từ 5.7.x đến trước 5.7.8, phiên bản 5.8.x đến trước 5.8.3 và phiên bản 6.0.x đến trước 6.0.3. Lỗi phát sinh khi sử dụng serialized session và không làm sạch thông tin xác thực trong security context đúng cách khi thực hiện quá trình đăng xuất. Hơn nữa, việc lưu security context trống vào HttpSessionSecurityContextRepository không thể thực hiện được. Điều này có thể dẫn đến việc người dùng vẫn được xác thực ngay cả sau khi họ đã đăng xuất. Lỗ hổng này được tìm thấy và báo cáo bởi Daniel Furtlehner từ Porsche Informatik.Các điều kiện khiến ứng dụng có thể bị hacker tấn công lợi dụng CVE-2023-20862 gồm:
- Ứng dụng đang sử dụng SecurityContextHolderFilter hoặc requireExplicitSave(true) và đang sử dụng hỗ trợ đăng xuất của Spring Security với các phiên được tuần tự hóa (ví dụ: Spring Session) và invalidateHttpSession(false).
- Người dùng đăng xuất thủ công bằng cách lưu một SecurityContext trống vào HttpSessionSecurityContextRepository.
- Người dùng có một SecurityContextRepository tùy chỉnh không dựa trên HttpSession.
Các sản phẩm và phiên bản bị ảnh hưởng
Các phiên bản Spring Security sau đây bị ảnh hưởng bởi lỗ hổng này:- Phiên bản 6.0.0 đến 6.0.2
- Phiên bản 5.8.0 đến 5.8.2
- Phiên bản 5.7.0 đến 5.7.7
Giảm thiểu lỗ hổng
- Đối với người dùng phiên bản 5.7.x, hãy nâng cấp lên 5.7.8.
- Đối với người dùng phiên bản 5.8.x, hãy nâng cấp lên 5.8.3.
- Đối với người dùng phiên bản 6.0.x, hãy nâng cấp lên 6.0.3.
Nguồn: Security Online