-
09/04/2020
-
85
-
553 bài viết
Spring Security vá hai lỗ hổng mức cao CVE-2023-34034 và CVE-2023-34035
Mới đây, Spring Security đã xử lý hai lỗ hổng có thể đang bị khai thác được gán mã định danh lần lượt là CVE-2023-34034 và CVE-2023-34035. Spring Security là một framework phổ biến trong cộng đồng Java để bảo vệ các ứng dụng web và ứng dụng dựa trên Spring. Framework này cung cấp nhiều tính năng và chức năng để hỗ trợ việc xác thực (authentication) và phân quyền (authorization) trong ứng dụng.
Lỗ hổng đầu tiên là CVE-2023-34034, điểm CVSS 8,8. Lỗi xảy ra khi ký tự “**” được sử dụng làm mẫu trong cấu hình Spring Security cho WebFlux, dẫn đến sự không khớp mẫu giữa Spring Security và Spring WebFlux. Hacker có thể lợi dụng lỗ hổng để vượt qua tính năng an ninh.[MLĐ1]
Các phiên bản Spring Security bị ảnh hưởng:
Lỗ hổng thứ hai là CVE-2023-34035, xuất hiện trong các phiên bản Spring Security từ 5.8 đến trước 5.8.5, 6.0 đến trước 6.0.5 và 6.1 đến trước 6.1.2. Những phiên bản này có thể bị lỗi cấu hình phân quyền nếu ứng dụng dùng thành phần requestMatchers(String) và nhiều servlet - trong đó có DispatcherServlet của Spring MVC, một thành phần ánh xạ các HTTP endpoint tới các phương thức trên các lớp có chú thích @Controller. Nếu khai thác thành công, hacker có thể truy cập vào các tài nguyên, chức năng hoặc tính năng cụ thể.
Hiện nhà cung cấp đã phát hành các bản vá để xử lý CVE này:
Mặc dù Spring Security đóng vai trò là lá chắn cho các ứng dụng dựa trên Spring, nhưng các lỗ hổng này nhấn mạnh tầm quan trọng của việc giám sát liên tục và cập nhật kịp thời trong việc duy trì tính toàn vẹn bảo mật của ứng dụng.
Lỗ hổng đầu tiên là CVE-2023-34034, điểm CVSS 8,8. Lỗi xảy ra khi ký tự “**” được sử dụng làm mẫu trong cấu hình Spring Security cho WebFlux, dẫn đến sự không khớp mẫu giữa Spring Security và Spring WebFlux. Hacker có thể lợi dụng lỗ hổng để vượt qua tính năng an ninh.[MLĐ1]
Các phiên bản Spring Security bị ảnh hưởng:
- Từ 6.1.0 đến 6.1.1
- Từ 6.0.0 đến 6.0.4
- Từ 5.8.0 đến 5.8.4
- Từ 5.7.0 đến 5.7.9
- Từ 5.6.0 đến 5.6.11
Lỗ hổng thứ hai là CVE-2023-34035, xuất hiện trong các phiên bản Spring Security từ 5.8 đến trước 5.8.5, 6.0 đến trước 6.0.5 và 6.1 đến trước 6.1.2. Những phiên bản này có thể bị lỗi cấu hình phân quyền nếu ứng dụng dùng thành phần requestMatchers(String) và nhiều servlet - trong đó có DispatcherServlet của Spring MVC, một thành phần ánh xạ các HTTP endpoint tới các phương thức trên các lớp có chú thích @Controller. Nếu khai thác thành công, hacker có thể truy cập vào các tài nguyên, chức năng hoặc tính năng cụ thể.
Hiện nhà cung cấp đã phát hành các bản vá để xử lý CVE này:
- Người dùng phiên bản 5.8.x nên cập nhật lên 5.8.5
- Người dùng phiên bản 6.0.x nên cập nhật lên 6.0.5
- Người dùng phiên bản 6.1.x nên cập nhật lên 6.1.2
Mặc dù Spring Security đóng vai trò là lá chắn cho các ứng dụng dựa trên Spring, nhưng các lỗ hổng này nhấn mạnh tầm quan trọng của việc giám sát liên tục và cập nhật kịp thời trong việc duy trì tính toàn vẹn bảo mật của ứng dụng.
Nguồn: Security Online