【漏洞详情】
Spring框架是一个开放源代码的J2EE应用程序框架。近日Spring官方发布了一个漏洞预警(CVE-2020-5398),在特定版本中攻击者通过篡改响应中的“Content-Disposition”字段可造成反射文件下载(RFD)攻击,漏洞风险较高,建议受影响的用户综合评估安全及业务影响,及时进行加固修复,避免安全风险。
【风险评级】
高危
【影响范围】
5.2.0至5.2.2
5.1.0至5.1.12
5.0.0至5.0.15
【修复建议】
建议受影响用户综合评估漏洞风险和业务影响,可按如下方案加固修复,避免安全风险。
1、升级安全版本补丁
Spring Framework 5.2.x用户升级到Spring Framework 5.2.3;
Spring Framework 5.1.x用户升级到Spring Framework 5.1.13;
Spring Framework 5.0.x用户升级到Spring Framework 5.0.16。
版本下载链接:http://repo.springsource.org/libs-release-local/org/springframework/spring/
2、或者按如下方法完成安全配置:
应用程序未设置“ Content-Disposition”响应header;
响应header不是通过org.springframework.http.ContentDisposition进行添加的;
文件名是通过以下方式之一设置的:
ContentDisposition.Builder#filename(String, UTF_8)
ContentDisposition.Builder#filename(String, ISO_8859_1)
filename的值不是来自用户提供的输入;
filename来自用户提供的输入,但由应用程序清除。
【参考链接】
https://pivotal.io/security/cve-2020-5398
特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照,防止出现意外。