Spring - SpELは脆弱ですか？

Question

私は記事Open source library with vulnerabilitiesに出くわしました。

この記事では、 「攻撃者が機密性の高いシステムデータ、アプリケーション、およびユーザーのCookieを取得するためのHTTPパラメータ提出によって、春の表現言語（SpEL）が悪用される可能性があります。

誰かがこれにもっと光を当てることができますか？

Answer 1

このアスペクトセキュリティ/マインドセキュリティevaluation of SpEL（google docs link）（あなたがリンクしている記事がおそらくSpELの特定の場合）をチェックアウトしてください。

特定のスプリングJSPタグがEL式をどのように評価するかを記述します。これらの場合、ユーザがSpELの形式でサーバにデータを提出することが可能であり得る。値${bean.val}持つリクエストパラメータ（URLエンコード）

http://...?exp=$%7Bbean.val%7D 

内部JSPページとして、表現${param.exp}は、それ自体で安全であるテキスト${bean.val}に解決されます。しかし、その式がスプリングJSTLタグの属性内に存在する場合、その解決された値は再び評価されてもよい。 spring:messageタグに：

<spring:message message="${param.exp}" /> 

${bean.val}がbean.getVal()方法を評価しますspring:messageタグに通過された値になります。これで、クライアントから送信され、サーバー上で実行されるコードが作成されました。

Answer 2

アスペクトセキュリティによる発見は2013年1月に発見されましたが、SpringSourceが公開した修正は、これが初めて発見されたときに2011年に公開されました。 Aspect SecurityのDan Amodioは、SpringSourceにリモートコード実行の可能性について通知しました。

のSpringSourceは、アスペクトSecurityの知見と、当社のセキュリティレポート2012年12月6日の更新 - しかし、元のアドバイザリに記載されている/緩和修正がまだ適用されます。http://support.springsource.com/security/cve-2011-2730

この脆弱性は、唯一のSpring Frameworkのバージョンに影響します。

•3.0.0〜3.0.5 - ここで3.0.6にアップグレードすると問題が解決します。 •2.5.0〜2.5.6.SEC02（コミュニティリリース） - ここで2.5.6.SEC03にアップグレードすると問題が解決します。 •2.5.0〜2.5.7.SR01（サブスクリプション顧客） - ここで2.5.7.SR02にアップグレードすると問題が解決します。

これは、今後のすべてのバージョンで修正されました - SpringFrameworkの現在のリリースは3.2で、12月2012年にリリースされ

おかげで、

-Pieter（SpringSourceの）