SAML 漏洞说明 VU#475445 - Spring Secucity SAML2 是否受到影响?
SAML Vulnerability Note VU#475445 - Is Spring Secucity SAML2 affected?
https://www.kb.cert.org/vuls/id/475445刚刚公开了
这会影响 Spring Security SAML2 吗?
我在受影响的 API 列表中看不到 Spring Security SAML2 上使用的 XML 解析器。
让我们知道。
我是 Spring 安全项目负责人,我已验证该漏洞利用对默认设置的 Spring 安全 SAML 无效。这也得到了同事的证实。
如果您更改默认设置(设置 ignoreComments = false),您的应用程序将变得易受攻击。
更新:见https://spring.io/blog/2018/03/01/spring-security-saml-and-this-week-s-saml-vulnerability
https://www.kb.cert.org/vuls/id/475445刚刚公开了
这会影响 Spring Security SAML2 吗?
我在受影响的 API 列表中看不到 Spring Security SAML2 上使用的 XML 解析器。
让我们知道。
我是 Spring 安全项目负责人,我已验证该漏洞利用对默认设置的 Spring 安全 SAML 无效。这也得到了同事的证实。
如果您更改默认设置(设置 ignoreComments = false),您的应用程序将变得易受攻击。
更新:见https://spring.io/blog/2018/03/01/spring-security-saml-and-this-week-s-saml-vulnerability