VMware SpringSource Spring Security用户枚举漏洞

漏洞起因
设计错误
危险等级

影响系统
Spring Security Framework 3.1.0 to 3.1.2
Spring Security Framework 3.0.0 to 3.0.7
Spring Security Framework 2.0.0 to 2.0.7

不受影响系统

危害
远程攻击者利用漏洞判断用户名信息。

攻击所需条件
攻击者必须访问Spring Security。

漏洞信息
Spring Security是一款功能强大的可自定义认证和访问控制框架。
VMware SpringSource Spring Security DaoAuthenticationProvider不正确检查不存在用户的密码,通过应答延迟的不同允许攻击者利用漏洞提交登录请求枚举合法用户名。

测试方法

厂商解决方案
Spring Security Framework 2.0.8,3.0.8,3.1.3已经修复此漏洞,建议用户下载使用:
http://www.springsource.org/spring-security

漏洞提供者
Nicholas Goodwin

评论关闭。