Debian DSA-2842-1：libspring-java - 拒绝服务

medium Nessus 插件 ID 71933

语言：

简介

远程 Debian 主机缺少与安全相关的更新。

描述

Alvaro Munoz 发现了 Spring Framework 中的一个 XML 外部实体 (XXE) 注入，可用于在其他站点上进行 CSRF 和 DoS 攻击。

Spring OXM 封装程序在使用 JAXB 解组器时未暴露任何用于禁用实体解析的属性。有四种源实现可能被传递给解组器：

- DOMSource
- StAXSource

- SAXSource

- StreamSource

对于 DOMSource，XML 已由用户代码进行解析，该代码负责防范 XXE。

对于 StAXSource，XMLStreamReader 已由用户代码进行创建，该代码负责防范 XXE。

对于 SAXSource 和 StreamSource 实例，Spring 默认处理外部实体，因此造成此漏洞。

该问题已得到解决，方法是默认禁用外部实体处理，并为需要在处理来自受信任源的 XML 时使用此功能的用户添加用于启用外部实体处理的选项。

此外还确定，Spring MVC 在未禁用外部实体解析的情况下结合 StAX XMLInputFactory 来处理用户提供的包含 JAXB 的 XML。已禁用此情况下的外部实体解析。