功夫:2022-11-02 作者:ca88登陆平台CERT

ca88登陆平台CERT
致力于第一功夫为企业级用户提供安全风险公告和有效解决规划。。。。。。
安全公告
SpringSecurity是一个可能为基于Spring的企业利用系统提供申明式的安全接见节造解决规划的安全框架。。。。。。
近日,,,,,ca88登陆平台CERT监测到Spring官方颁布SpringSecurity身份认证绕过缝隙(CVE-2022-31692)公告,,,,,当SpringSecurity处置forward或include转发的要求时,,,,,可能存在缝隙,,,,,攻击者可利用此缝隙绕过授权规定。。。。。。鉴于此缝隙影响领域较大,,,,,建议客户尽快做好自查及防护。。。。。。
威胁评估
措置建议
1、版本升级
目前官方已有可更新版本,,,,,建议用户升级至:
SpringSecurity>=5.6.9
SpringSecurity>=5.7.5
2、缓解规划
无法升级的用户建议配置authorizeRequests().filterSecurityInterceptorOncePerRequest(false)包办authorizeHttpRequests().shouldFilterAllDispatcherTypes(true)
SpringSecurity<5.7.0版本shouldFilterAllDispatcherTypes不成用,,,,,可通过增长ObjectPostProcessor缓解此缝隙:
authorizeHttpRequests().withObjectPostProcessor(new
ObjectPostProcessor(){
@Override
publicOpostProcess(Ofilter){
filter.setObserveOncePerRequest(false);
filter.setFilterAsyncDispatch(true);
filter.setFilterErrorDispatch(true);
returnfilter;
参考资料
[1]https://tanzu.vmware.com/security/cve-2022-31692
功夫线
2022年11月2日,,,,,ca88登陆平台CERT颁布安全风险公告。。。。。。
到ca88登陆平台NOX-安全监测平台查问更多缝隙详情
旗下网站
关于ca88登陆平台
95015服务热线
微信公家号
立即拨打