双乳被一左一右吃着动态图,小泽マリアAV无码观看,欧美高清性xxxxhdvideosex,国产午夜精品一区二区三区四区

安全公告編號(hào):CNTA-2017-0067

近日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄了Spring AMQP遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2017-27969對(duì)應(yīng)CVE-2017-8045）與Spring Data REST遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2017-27968對(duì)應(yīng)CVE-2017-8046）。綜合利用漏洞，攻擊者可能在目標(biāo)服務(wù)器上遠(yuǎn)程執(zhí)行任意代碼。

一、漏洞情況分析

Spring AMQP 是基于 Spring 框架的AMQP消息解決方案；Spring Data REST 的目標(biāo)是提供堅(jiān)實(shí)的基礎(chǔ)，從而使用 HTTPREST 語(yǔ)義來(lái)開(kāi)放 CRUD 操作到你的 JPA 庫(kù)管理的實(shí)體。自2017年9月19日以來(lái)，Pivotal團(tuán)隊(duì)披露了以下兩個(gè)安全漏洞：

漏洞一：Spring AMQP遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2017-27969對(duì)應(yīng)CVE-2017-8045）：

Spring AMQ的org.springframework.amqp.core.Message類(lèi)存在反序列化漏洞，攻擊者利用該漏可能實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行攻擊。

漏洞二：Spring Data REST遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2017-27968對(duì)應(yīng) CVE-2017-8046）：

Spring Data REST在org.springframework.data.rest.webmvc.config.PersistentEntityResourceHandlerMethodArgumentResolver.java中調(diào)用resolveArgument方法來(lái)處理json Patch請(qǐng)求，攻擊者通過(guò)控制path并構(gòu)造惡意的PATCH請(qǐng)求提交到部署了Spring-Data-REST的服務(wù)器，可以使用特制的JSON數(shù)據(jù)來(lái)執(zhí)行任意的Java代碼，從而實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行攻擊。

CNVD對(duì)上述漏洞的綜合評(píng)級(jí)均為“高危”。

二、漏洞影響范圍

Spring AMQP遠(yuǎn)程代碼執(zhí)行漏洞影響版本如下：

<1.7.4, 1.6.11, 1.5.7

Spring Data REST遠(yuǎn)程代碼執(zhí)行漏洞，影響版本如下：

<Spring Data REST 2.5.12,2.6.7, 3.0 RC3

<Spring Boot 2.0.0M4

<Spring Data Kay-RC3

三、漏洞處置建議

Spring AMQP漏洞修復(fù)版本為:

2.0.0, 1.7.4, 1.6.11, 1.5.7，詳情參見(jiàn)官方鏈接：https://projects.spring.io/spring-amqp/

Spring Data REST漏洞修復(fù)版本為：

1.Spring Data REST 2.5.12,2.6.7, 3.0 RC3，

2.Spring Boot 2.0.0.M4

3.Spring Data Kay-RC3

詳情參見(jiàn)官方鏈接：

https://projects.spring.io/spring-data-rest/

https://projects.spring.io/spring-boot/

http://projects.spring.io/spring-data/

附：參考鏈接：

https://pivotal.io/security/cve-2017-8045

https://pivotal.io/security/cve-2017-8046

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27968

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27969

本公告在編寫(xiě)過(guò)程中參考了杭州安恒公司的公開(kāi)分析結(jié)果。