リモートホストに、バージョンが4.3.16より前の4.3.x、または5.0.5より前の5.0.xのSpring Frameworkライブラリがあります。したがって、リモートコード実行の脆弱性の影響を受けます。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたメッセージをブローカーに送信してRCE攻撃を引き起こす可能性があります。

モジュラ Java/J2EE のアプリケーションフレームワークである libspring-java で複数の脆弱性が発見されました。攻撃者が、コードの実行、XST 攻撃の実行、認証されていないクロスドメインリクエストの発行、特定の構成での DoS (サービス拒否) を引き起こす可能性があります。

CVE-2018-1270

Spring Framework を使用すると、アプリケーションは Spring メッセージングモジュールを介したシンプルなメモリ内 STOMP ブローカーを使用して、WebSocket エンドポイントを介して STOMP を公開できます。悪意のあるユーザー (または攻撃者) が、ブローカーにメッセージを細工し、リモートコード実行攻撃を引き起こす可能性があります。

CVE-2018-11039

Spring Framework により、Web アプリケーションは、Spring MVC の HiddenHttpMethodFilter を使用して、HTTP リクエストメソッドを任意の HTTP メソッド (TRACE を含む) に変更できます。アプリケーションに XSS 脆弱性がすでに存在する場合、悪意のあるユーザー (または攻撃者) がこのフィルターを使用して、XST (クロスサイトトレース) 攻撃にエスカレートする可能性があります。

CVE-2018-11040

Spring Framework により、Web アプリケーションは、REST コントローラーの場合は AbstractJsonpResponseBodyAdvice を使用して、ブラウザリクエストの場合は JSONP (JSON と Padding) を使用して、クロスドメインリクエストを有効にできます。Spring Framework と Spring Boot ではどちらもデフォルトでは有効になっていませんが、アプリケーションで MappingJackson2JsonView が構成されている場合、「jsonp」および「callback」JSONP パラメーターを使用して JSONP サポートを自動的に使用できるようになり、クロスドメインリクエストが有効になります。

CVE-2018-15756

Spring Framework は、ResourceHttpRequestHandler を介して静的リソースを提供するとき、または注釈付きコントローラーが org.springframework.core.io.Resource を返す際に 5.0 を開始するときに、範囲リクエストをサポートします。悪意のあるユーザー (または攻撃者) が、多数の範囲を持つヘッダー、重複する広い範囲を持つヘッダー、またはその両方を持つヘッダーを追加して、サービス拒否攻撃を行う可能性があります。

Debian 9 stretch では、これらの問題はバージョン 4.3.5-1+deb9u1 で修正されています。

お使いの libspring-java パッケージをアップグレードすることを推奨します。

libspring-java の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
https://security-tracker.debian.org/tracker/libspring-java

注: Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリーから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
129500	Spring Framework 4.3.x < 4.3.16/5.0.x < 5.0.5のspring-messagingを利用したリモートコード実行（CVE-2018-1270）	Nessus	Misc.	2019/10/2	2022/4/11	critical
149004	Debian DLA-2635-1 : libspring-java セキュリティ更新	Nessus	Debian Local Security Checks	2021/4/27	2024/1/12	critical
170557	Nutanix AOS : 複数の脆弱性 (NXSA-AOS-6.6)	Nessus	Misc.	2023/1/24	2024/5/11	critical

検出

プラグインの検索

critical

critical

critical