El pasado año se descubrió una vulnerabilidad en Spring que, debido a su nivel de peligrosidad, no se publicó hasta que el fabricante solucionó la vulnerabilidad en marzo de 2018 poniendo a disposición de los usuarios que utilizan Spring Data Rest la actualización de Spring Boot 2.0. (CVE-2017-8046).
Recientemente, el 06 de abril de 2018, se detectaron otras 3 vulnerabilidades relacionadas con el frameworkSpring, siendo una de ellas crítica. Estas vulnerabilidades, según Pivotal, afectan a las versiones de la 5.0 a la 5.0.4, y de la 4.3. a la 4.3.14, así como a las que ya no tienen soporte oficial. (CVE-2018-1270, CVE-2018-1271, CVE-2018-1272).
Las vulnerabilidades son:
-
CVE-2017-8046. Se trata de una vulnerabilidad causada por la forma en la que SpEL (El lenguaje de expresión propio de Spring) es usado en el componente Data REST. La entrada de datos no es correctamente validada lo que puede provocar que un atacante sea capaz de ejecutar código arbitrario (RCE) en cualquier máquina que tenga una aplicación creada con Spring Data REST. Pivotal se ha referido a esta vulnerabilidad como DATAREST-1127 y ha emitido un parche para la misma en la actualización de Spring Boot 2.0.
-
CVE-2018-1270. Se trata de una vulnerabilidad considerada crítica que permite la ejecución de código en remoto. Las versiones de Spring que son vulnerables permiten a través del módulo spring-messaging exponer STOMP a través de WebSocket. Eso puede permitir a un atacante ejecutar código dañino a partir de la inclusión de un filtro en la suscripción de un evento de STOMP.
-
CVE-2018-1271. Se trata de una vulnerabilidad de Directory Traversal considerada como alta y afecta a Spring MVC sobre Windows. Las versiones de Spring que son vulnerables, permiten que las aplicaciones configuren Spring MVC para servir recursos estáticos como CSS, JavaScript e imágenes. Cuando se sirve el recurso estático desde un sistema de ficheros en Windows (a diferencia de classpath o ServletContext), un atacante podría enviar una petición maliciosa que permitiría explotar el directory traversal.
-
CVE-2018-1272. Esta vulnerabilidad se produce cuando un servidor A recibe datos introducidos por un cliente los cuales serán reutilizados para realizar una petición multipart a un servidor B. Este servidor puede estar expuesto a un ataque que permitiría una elevación de privilegios si se inserta una nueva petición multipart. Para que esta vulnerabilidad pueda ser explotada el atacante tiene que adivinar previamente el boundary.
Recursos afectados en CVE-2017-8046:
- Pivotal Software Spring Data Rest 3.0 Rc3
- Pivotal Software Spring Data Rest 3.0 Rc2
- Pivotal Software Spring Data Rest 3.0 Rc1
- Pivotal Software Spring Boot 2.0.0 M5
- Pivotal Software Spring Boot 2.0.0 M4
- Pivotal Software Spring Boot 2.0.0 M3
- Pivotal Software Spring Boot 2.0.0 M2
- Pivotal Software Spring Boot 2.0.0 M1
Recursos afectados en CVE-2018-1270, CVE-2018-1271, CVE-2018-1272 :
- Spring Framework 5.0 to 5.0.4
- Spring Framework 4.3 to 4.3.14
- Las versiones antiguas que no tienen soporte oficial
Las actualizaciones para reparar la vulnerabilidad CVE-2017-8046:
- Spring Data REST 2.6.9
- Spring Data REST 3.0.1
- Spring Boot 1.5.9
- Spring Boot 2.0 M6
En el caso de CVE-2018-1270, CVE-2018-1271, CVE-2018-1272 como medida de mitigación hay que actualizar a las versiones de Spring Framework 5.0.5 y 4.3.15.
Referencias:
- Pivotal (CVE-2017-8046)
- Pivotal (CVE-2018-1270)
- Pivotal (CVE-2018-1271)
- Pivotal (CVE-2018-1272)
- The Hacker News
- CCN-CERT
