红客联盟 › 首页 ›情报 › 查看内容

CVE-2020-5410 | VMware Spring Cloud Config目录遍历漏洞通告

2020-6-2 13:11| 发布者: wjd| 查看: 1183| 评论: 0|原作者: 启明星辰|来自: 启明星辰

摘要: CVE-2020-5410 | VMware Spring Cloud Config目录遍历漏洞通告

0x00 漏洞概述

CVE ID

CVE-2020-5410

时间

2020-06-02

类型

等级

高危

远程利用

是

影响范围

VMware Spring Cloud Config

2.2.0-2.2.2、2.1.0-2.1.8和不再受支持的旧版本

0x01 漏洞详情

VMware Spring Cloud Config是美国威睿（VMware）公司的一套分布式系统的配置管理解决方案。该产品主要为分布式系统中的外部配置提供服务器和客户端支持。
近日VMware官方发布通告，修复了一个VMware Spring Cloud Config中的目录遍历漏洞（CVE-2020-5410）。该漏洞源于VMware Spring Cloud Config 2.2.0-2.2.2版本、2.1.0-2.1.8版本和不再受支持的旧版本允许应用程序通过spring-cloud-config-server模块提供任意配置文件，使攻击者可以利用精心构造的URL进行任意文件读取。

0x02 处置建议

官方已发布最新版本修复了此漏洞，用户应尽快升级到VMware Spring Cloud Config 2.2.3或2.1.9版本，其中不再支持的旧版本应尽快升级至可支持的不受该漏洞影响的版本。下载地址：
https://github.com/spring-cloud/spring-cloud-config/releases
临时措施：将spring-cloud-config-server放置在内网中，并且使用Spring Security对其进行保护，使得只有内部网络访问权限的用户和具有正确身份验证的用户才能进行访问。

0x03 相关新闻

https://spring.io/blog/2020/06/01/spring-cloud-greenwich-sr6-hoxton-sr5-and-2020-0-0-m2-aka-ilford-are-available

0x04 参考链接

https://tanzu.vmware.com/security/cve-2020-5410

0x05 时间线

2020-06-01 VMware官方发布通告
2020-06-02 VSRC发布漏洞通告

收藏分享邀请

上一篇：DLA-2239-1 libpam-tacplus-LTS安全更新下一篇：微软 | 多个0day漏洞通告

最新资讯

中国红客联盟网络安全预警响应中心成立

中国红客联盟网络安全预警响应中心正式启动我们将模拟黑客的思维和方式发现您的系统漏洞及安全隐患 [详细]

红客联盟2018绝地求生-游戏外挂分析大

（点击图片查看原图）主题：绝地求生-游戏外挂分析时间：2018.3.22日（周四）晚7点-晚10点 [详细]

红盟手机客户端现已更新，请下载最新版

红客联盟手机版客户端目前安卓版本已经完成制作，ios版本正在验证中。安卓用户新版手机客户端下载 [详细]