Debian DSA-2842-1：libspring-java - 拒絕服務

medium Nessus Plugin ID 71933

語系：

概要

遠端 Debian 主機缺少安全性更新。

說明

Alvaro Munoz 在 Spring Framework 中發現一個 XML 外部實體 (XXE) 插入，其可用來對其他網站執行 CSRF 與 DoS 攻擊。

當使用 JAXB 取消封送處理器時，Spring OXM 包裝函式並未暴露停用實體解析的任何內容。有四個可能的來源實作傳遞至取消封送處理器：

- DOMSource
- StAXSource

- SAXSource

- StreamSource

針對 DOMSource，XML 已由使用者程式碼剖析，而該程式碼負責防範 XXE。

針對 StAXSource，XMLStreamReader 已由使用者程式碼建立，而該程式碼負責防範 XXE。

針對 SAXSource 與 StreamSource 執行個體，Spring 依預設處理外部實體，進而建立此弱點。

此問題已透過預設停用外部實體處理，以及當從信任的來源處理 XML 時，新增針對需要使用此功能的使用者予以啟用的選項來解決。

另外據發現，Spring MVC 處理使用者提供之含 JAXB 的 XML 時，搭配了 StAX XMLInputFactory，而未停用外部實體解析。在此情況下，已停用外部實體解析。